Lapsus$, Microsoft ve Kimlik Doğrulama Firması Okta’yı İhlal Ettiklerini İddia Ediyor
Microsoft ve kimlik doğrulama hizmetleri sağlayıcısı Okta, LAPSUS$ gaspçı çetesi tarafından iddia edilen olası bir ihlal iddialarını araştırdıklarını söyledi.
İlk olarak Vice ve Reuters tarafından bildirilen gelişme, siber suç grubunun Telegram kanalında şirketlerin iç projeleri ve sistemleri olduğunu söylediği şeylerin ekran görüntülerini ve kaynak kodunu yayınlamasından sonra geldi.
Sızdırılan 37GB arşiv, grubun Microsoft'un Bing, Bing Maps ve Cortana ile ilgili depolarına erişmiş olabileceğini ve Okta'nın Atlassian paketini ve şirket içi Slack kanallarını vurgulayan görüntülerle gösteriyor.
Hacking karteli Telegram'da "En büyük şirketlerin çoğuna (ve FEDRAMP tarafından onaylanan) kimlik doğrulama sistemlerine güç sağlayan bir hizmet için bu güvenlik önlemlerinin oldukça zayıf olduğunu düşünüyorum" dedi.
Bunun üzerine grup, bir yıl içinde "ikinci kez" LG Electronics'i (LGE) ihlal ettiğini iddia etti.
Bağımsız bir güvenlik araştırmacısı olan Bill Demirkapi, "LAPSUS $'ın Cloudflare kiracısına çalışan parolalarını sıfırlama yeteneğiyle erişim elde etmiş gibi göründüğünü" belirterek, şirketin "en az iki ay boyunca herhangi bir ihlali kamuya açık olarak kabul etmediğini" de sözlerine ekledi.
Lapsus$ o zamandan beri Okta'nın veritabanlarını ihlal etmediğini ve "Odak noktamızın YALNIZCA Okta müşterileri üzerinde olduğunu" açıkladı. Bu, iç sistemlere kullanıcı erişimini doğrulamak için Okta'ya güvenen diğer devlet kurumları ve şirketler için ciddi sonuçlar doğurabilir.
Okta CEO'su Todd McKinnon bir tweet'te, "Ocak 2022'nin sonlarında, Okta, alt işlemcilerimizden biri için çalışan üçüncü taraf bir müşteri destek mühendisinin hesabını ele geçirme girişimi tespit etti. Konu, alt işlemci tarafından araştırıldı ve kontrol altına alındı" dedi.
McKinnon, "Çevrimiçi olarak paylaşılan ekran görüntülerinin bu Ocak etkinliğiyle bağlantılı olduğuna inanıyoruz. Bugüne kadarki araştırmamıza göre, Ocak ayında tespit edilen etkinliğin ötesinde devam eden kötü amaçlı etkinlik olduğuna dair bir kanıt yok," dedi.
Cloudflare, yanıt olarak, son dört ayda şifrelerini değiştiren çalışanların Okta kimlik bilgilerini dikkatli bir şekilde sıfırladığını söyledi.
Bir kurbandan veri çalmak ve ardından bir ödeme karşılığında bu bilgileri şifrelemek şeklindeki çifte gasp taktiklerini takip eden geleneksel fidye yazılımı gruplarının aksine, tehdit ortamına yeni giren kişi daha çok veri hırsızlığına ve bunu hedeflere şantaj yapmak için kullanmaya odaklanıyor.
Aralık 2021'in sonlarında aktif hale gelmesinden bu yana, siber suç çetesi Lapsus$, Impresa, NVIDIA, Samsung, Mercado Libre, Vodafone ve en son Ubisoft dahil olmak üzere uzun bir yüksek profilli kurban listesi topladı.
Cymulate'in güvenlik mimarı Mike DeNapoli yaptığı açıklamada, "Bir hizmet sağlayıcıya veya yazılım geliştiricisine yönelik herhangi bir başarılı saldırı, bu ilk saldırının kapsamının ötesinde daha fazla etkiye sahip olabilir." dedi. "Hizmetlerin ve platformların kullanıcıları, savunulması gereken olası tedarik zinciri saldırıları olduğu konusunda uyarılmalıdır."
Kaynak: https://thehackernews.com/2022/03/lapsus-hackers-claim-to-have-breached.html
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.