El hacker de Microsoft LAPSUS$ acaba de reclamar otra víctima más

Aranzulla de Los Pobres

LAPSUS$, el grupo detrás del hackeo sin precedentes de Nvidia , se infiltró con éxito en otra empresa, la firma de autenticación de seguridad digital Okta.

Se confirmó que ocurrió un incidente de seguridad cibernética en enero, y la investigación de una firma forense reveló que un pirata informático obtuvo acceso a la computadora portátil de un ingeniero de soporte de Okta durante cinco días completos.

Una persona ingresa código en un sistema.

Las consecuencias para las últimas víctimas de LAPSUS$ no se pueden subestimar: el servicio de Okta es utilizado por algunas de las compañías más grandes del mundo, incluidas FedEx y T-Mobile. Las agencias gubernamentales como la Comisión Federal de Comunicaciones también confían en su tecnología de autenticación.

En un comunicado , Okta enfatizó que solo un porcentaje menor de sus clientes se vio afectado.

“Después de un análisis exhaustivo de estos reclamos, hemos llegado a la conclusión de que un pequeño porcentaje de clientes, aproximadamente el 2,5 %, se ha visto potencialmente afectado y cuyos datos pueden haber sido vistos o actuar en consecuencia”.

Los últimos comentarios de Okta se producen después de que LAPSUS$ publicara varias fotos en su canal de Telegram que contenían información confidencial relacionada con la filtración.

La respuesta de Okta al incidente provocó una reacción severa de algunos, incluido Dan Starner, un ingeniero de software de infraestructura en Salesforce. Como informó inicialmente VentureBeat , Starnertuiteó :

Dije anoche que esto era muy, muy malo.

Hoy confié en @okta y pensé que estaba bien.

Ahora sé que es muy, muy malo y que ya no confío en @okta . La seguridad es difícil y las infracciones ocurren, pero mentir por omisión es peor que decirnos que nuestros datos pueden verse comprometidos. https://t.co/TjaXt08RKc

– Dan Starner (@dan_starner) 23 de marzo de 2022

Bill Demirkapi, un investigador de seguridad independiente, también ofreció sus pensamientos sobre la situación, según lo informado por Reuters :

“En mi opinión, parece que están tratando de minimizar el ataque tanto como sea posible, llegando incluso a contradecirse directamente en sus propias declaraciones”.

LAPSUS$ dijo en su canal de Telegram que su “enfoque estaba SOLO en los clientes de Okta”, a diferencia de la empresa misma. También agregó que "el impacto potencial para los clientes de Okta NO es limitado".

“Estoy bastante seguro de que restablecer las contraseñas y [la autenticación multifactor] resultaría en un compromiso total de los sistemas de muchos clientes”, declaró el grupo de piratería.

Este es nuestro tercer intento de compartir la foto 5 a 8. LAPSUS$ mostró mucha información sensible y/o información del usuario, tanto que terminamos faltando para censurar algunos.

Fotos 5 – 8 adjuntas a continuación. pic.twitter.com/KGlI3TlCqT

– vx-underground (@vxunderground) 22 de marzo de 2022

Por otra parte, el portavoz de Okta, Chris Hollis, enfatizó en una declaración anterior a The Verge que el ataque se limitó a la actividad detectada inicialmente en enero. Sin embargo, LAPSUS$ afirmó que tuvo acceso a la cuenta de “Superusuario/Administrador” durante dos meses. Con ese fin, el grupo dijo que Okta aparentemente estaba almacenando claves de Amazon Web Services (AWS) dentro de los canales de Slack.

Okta no es la única empresa de alto perfil a la que LAPSUS$ ha apuntado esta semana. El gigante del software Microsoft también confirmó que un actor de amenazas maliciosas logró obtener "acceso limitado" a sus sistemas . Como resultado, los códigos fuente tanto de Cortana como del motor de búsqueda Bing se filtraron.

Anteriormente, LAPSUS$ filtró el código fuente del código DLSS propietario de Nvidia , que formaba parte de un hack más grande de 1 TB .