L’hacker Microsoft LAPSUS$ ha appena rivendicato l’ennesima vittima

LAPSUS$, il gruppo dietro l’ hacking senza precedenti di Nvidia , si è infiltrato con successo in un’altra azienda, la società di autenticazione di sicurezza digitale Okta.

A gennaio è stato confermato che si è verificato un incidente di sicurezza informatica, con l’indagine di una società forense che ha rivelato che un hacker ha effettivamente avuto accesso al laptop di un ingegnere di supporto Okta per cinque giorni interi.

Una persona inserisce il codice in un sistema.

Le conseguenze per le ultime vittime di LAPSUS$ non possono essere sottovalutate: il servizio di Okta è utilizzato da alcune delle più grandi aziende mondiali, tra cui FedEx e T-Mobile. Anche le agenzie governative come la Federal Communications Commission fanno affidamento sulla sua tecnologia di autenticazione.

In una dichiarazione , Okta ha sottolineato che solo una piccola percentuale dei suoi clienti ne è stata colpita.

“Dopo un’analisi approfondita di queste affermazioni, abbiamo concluso che una piccola percentuale di clienti – circa il 2,5% – è stata potenzialmente interessata e i cui dati potrebbero essere stati visualizzati o agiti”.

Gli ultimi commenti di Okta arrivano dopo che LAPSUS$ ha rilasciato diverse foto sul suo canale Telegram contenenti informazioni sensibili relative alla violazione.

La risposta di Okta all’incidente ha suscitato una dura reazione da parte di alcuni, tra cui Dan Starner, un ingegnere del software infrastrutturale di Salesforce. Come inizialmente riportato da VentureBeat , Starnerha twittato :

Ho detto ieri sera che è stato molto, molto brutto.

Oggi mi sono fidato di @okta e ho pensato che andasse bene.

Ora so che è molto, molto brutto e che non mi fido più di @okta . La sicurezza è difficile e si verificano violazioni, ma mentire per omissione è peggio che dirci che i nostri dati potrebbero essere compromessi. https://t.co/TjaXt08RKc

— Dan Starner (@dan_starner) 23 marzo 2022

Bill Demirkapi, un ricercatore di sicurezza indipendente, ha anche offerto i suoi pensieri sulla situazione, come riportato da Reuters :

“Secondo me, sembra che stiano cercando di minimizzare il più possibile l’attacco, arrivando al punto di contraddirsi direttamente nelle proprie affermazioni”.

LAPSUS$ ha dichiarato sul suo canale Telegram che “il suo focus era SOLO sui clienti Okta”, al contrario dell’azienda stessa. Ha anche aggiunto che “il potenziale impatto sui clienti Okta NON è limitato”.

“Sono abbastanza certo che reimpostare le password e [l’autenticazione a più fattori] comporterebbe la completa compromissione dei sistemi di molti client”, ha affermato il gruppo di hacker.

Questo è il nostro terzo tentativo di condividere la 5a – 8a foto. LAPSUS$ ha mostrato molte informazioni sensibili e/o informazioni sugli utenti, tanto che finiamo per mancare per censurarne alcune.

Foto 5 – 8 allegate di seguito. pic.twitter.com/KGlI3TlCqT

— vx-underground (@vxunderground) 22 marzo 2022

Altrove, il portavoce di Okta Chris Hollis ha sottolineato in una precedente dichiarazione a The Verge che l’attacco era limitato all’attività inizialmente rilevata a gennaio. Tuttavia, LAPSUS$ ha affermato di aver avuto accesso all’account “Superuser/Admin” per due mesi. A tal fine, il gruppo ha affermato che Okta stava apparentemente archiviando le chiavi di Amazon Web Services (AWS) all’interno dei canali Slack.

Okta non è l’unica azienda di alto profilo che LAPSUS$ ha preso di mira questa settimana. Il gigante del software Microsoft ha anche confermato che un attore di minacce dannose è riuscito a ottenere un “accesso limitato” ai suoi sistemi . Di conseguenza, i codici sorgente di Cortana e del motore di ricerca Bing sarebbero trapelati.

In precedenza, LAPSUS$ ha fatto trapelare il codice sorgente per il codice DLSS proprietario di Nvidia , che faceva parte di un più ampio hack da 1 TB .