22. marca 2022 sa na internete objavili informácie o kompromitácii identity platformy Okta hackerskou skupinou Lapsus$. Stojí aj za nedávnymi útokmi na spoločnosti Samsung a Nvidia. Skupina Lapsus$ na Twitteri zverejnila snímky obrazovky z administrátorského portálu Okta rôznych zákazníkov – napr. od nájomcu spoločnosti Cloudflare. Podľa správy agentúry Reuters a následnej reakcie spoločnosti Okta sa však zdá, že ide o starší incident z januára tohto roka, keď bol napadnutý a zneužitý počítač jedného z inžinierov externej podpory pracujúcich pre spoločnosť Okta. V priebehu chvíle sa toho chytili aj menej informované médiá a začala sa šíriť senzácia, pozri napríklad článok „Lavínový efekt sa blíži, ohrozené sú údaje desiatok miliónov ľudí. Hackeri zaútočili na správcov identity“ na Novinky.cz. V ten istý deň nás spoločnosť Okta prostredníctvom partnerského kanála informovala o incidente s tým, že ide skutočne o dva mesiace starú záležitosť a nie je dôvod na obavy ani na prijatie preventívnych opatrení.
Ako partner, dodávateľ a zákazník spoločnosti Okta sme pripravili tento krátky článok, v ktorom sme zhrnuli podstatu incidentu, jeho vplyv a možnú migráciu. Podrobný opis incidentu a pozadia od inžiniera z bezpečnostného tímu spoločnosti Okta nájdete v časti Vyšetrovanie kompromitácie spoločnosti Okta z januára 2022.
Mechanizmus a účinky útoku
Spoločnosť Okta využíva na niektoré činnosti, ako je napríklad zákaznícka podpora, subdodávateľov, ktorých technickí pracovníci majú potom možnosť prihlásiť sa pomocou svojho účtu Okta k nájomníkom zákazníkov, ktorým práve poskytujú podporu. Tieto prihlasovacie údaje sú vo svojej podstate obmedzené, napríklad nemôžu vytvárať alebo odstraňovať používateľov, sťahovať údaje atď.
V januári 2022 jeden takýto subdodávateľ spoločnosti Sitel prevzal kontrolu nad zariadením správcu pomocou klasickej a primitívnej metódy hacknutia prístupu RDP (vzdialená plocha) k jeho stanici. Po prevzatí kontroly nad stanicou dostali útočníci príležitosť pokúsiť sa použiť aj jeho prihlasovacie meno do služby Okta. Bezpečnostný tím spoločnosti Okta v priebehu niekoľkých dní zaznamenal pokus o pridanie ďalšieho faktora do kompromitovaného účtu (konkrétne hesla) a následne spoločnosť Okta zablokovala účet a informovala spoločnosť Sitel o podozrivej aktivite v sieti. Následné vyšetrovanie spoločnosti Sitel bolo ukončené až v marci a spoločnosť Okta medzitým zistila, že počas piatich dní, keď bolo zariadenie kompromitované, malo k danému účtu obmedzený prístup 375 nájomcov z celkového počtu približne 15 000 zákazníkov, čo predstavuje 2,5 %. Následná analýza protokolov u týchto nájomcov vylúčila podozrivú činnosť, pravdepodobne z dôvodu nemožnosti prihlásiť sa prostredníctvom druhého faktora, napriek tomu boli títo zákazníci kontaktovaní a boli im poskytnuté správy o ich činnosti počas inkriminovaného obdobia.
Skupina Lapsus$, ktorá stála za narušením, sa vzhľadom na neúspech vlastného hackerského útoku zrejme snažila posilniť svoju mediálnu pozíciu aspoň z marketingového hľadiska a s dvojmesačným oneskorením zverejnila snímky obrazovky z kontrolovanej stanice, ktoré neobsahujú žiadne dôkazy o škodlivom správaní.
Záver
Nie je dôvod na paniku alebo dokonca stratu dôvery v riešenie Okta; naopak, bezpečnostné štandardy spoločnosti Okta viedli k tomu, že incident bol odhalený inou organizáciou a jeho vplyv bol minimalizovaný. Komunikácia o incidente však neprebehla tak, ako mala, spoločnosť Okta podcenila, čo dokážu dnešné médiá urobiť z relatívne bežného scenára.
Ak ste zákazníkom spoločnosti Okta a neboli ste kontaktovaní a informovaní, môžete byť pokojní – váš nájomca nebol týmto incidentom vôbec ovplyvnený, čo platí aj pre všetkých zákazníkov spoločnosti System4, ktorí využívajú službu Okta.
Odporúčania pre klientov
Ak ste stále mierne paranoidní, môžete sa riadiť týmito našimi odporúčaniami , ktoré sú všeobecne platné:
- Vyhľadajte v denníku obnovenie hesla a MFA od začiatku roka a zvážte zmenu hesiel pre týchto používateľov.
- Zakázanie nastavení bezpečnostných otázok a možnosti ich použitia na resetovanie hesiel/MFA
- Obmedzenie kanálov MFA/resetovania hesla, skrátenie platnosti resetovacích kódov
- Povolenie poštových oznámení pre používateľov pri prihlasovaní z nových zariadení / resetovanie hesla / MFA
- Vynútiť MFA pre prihlasovanie do všetkých aplikácií a nastaviť len bezpečné faktory (zakázať poštu, SMS, hlas atď.)
- Skrátenie doby trvania relácie v zásadách overovania
- Nastavenie automatického blokovania neaktívnych používateľských účtov
- Obmedzenie počtu správcov v službe Okta
Do budúcnosti odporúčame zvážiť overovanie bez hesla pomocou adaptívneho MFA.
