O sistema de gestão de identidades Okta é usado por milhares de organizações que confiam no serviço para providenciar uma forma fácil e segura de funcionários e parceiros acederem aos seus sistemas, sem terem de lidar com múltiplas passwords. Agora, o Lapsus$ Group alega ter conseguido aceder a uma destas contas administrativas, ou de super user, o que pode representar um risco para estas empresas. Ataques passados tiraram partido de os piratas terem conseguido acesso a este tipo de contas e usarem esse acesso para modificar contas dos clientes, mudar os dados de contacto e tomar conta das operações.
O Lapsus$ Group tem vindo a somar vítimas entre as tecnológicas, com Nvidia, Samsung e Ubisoft, entre outras, a verem a sua propriedade intelectual cair nas mãos dos hackers. Em Portugal, o grupo atacou os sistemas da Impresa (SIC e Expresso) há alguns meses. Agora, também a Microsoft parece estar no rol das vítimas, com o grupo a divulgar aquilo que alega ser código do motor de busca Bing, dos Bing Maps e do assistente virtual Cortana. A entrada em todos estes sistemas pode bem ter sido feito a partir do acesso à conta do Okta.
“Em finais de janeiro de 2022, a Okta detetou uma tentativa de comprometer a conta de um engenheiro de uma terceira parte que estava a trabalhar num dos nossos subprocessores. O tema foi investigado e contido. Acreditamos que as partilhas de ecrã publicadas online estão ligadas a este incidente de janeiro. Baseado nas nossas investigações até à data, não há evidências de atividade maliciosa contínua além da que foi detetada em janeiro”, afirma Todd McKinnon, CEO da Okta, citado pela Wired. Já a Microsoft afirma que está a investigar o tema.
O grupo publicou apenas algumas capturas de ecrã, não permitindo aos especialistas tirarem mais conclusões sobre o alcance real que tem (ou que teve) sobre a Okta. A verdade é que um acesso indevido destes a uma conta de administração sobre outras contas tem um impacto na reputação e financeiro sobre a empresa, com as ações a caírem 6% no dia em que surgiram as primeiras notícias sobre o assunto.
Bill Demirkapi, perito independente em cibersegurança, explica que “a ideia é que os controlos de acesso ao painel Administrativo são muito restritos. O problema aqui é que parece que o Lapsus$ comprometeu diretamente a máquina de um funcionário, pelo que mesmo sem os acessos conseguem entrar ‘à boleia’ dos acessos deste trabalhador”.
A Okta não comentou mais o tema desde ontem.
