El día miércoles en la madrugada, el grupo de hacking autodenominado Lapsus$ publicó en su canal de Telegram capturas de pantalla del panel de administración y otros servicios internos de la empresa Okta, mostrando que contaban con acceso total a la cuenta de un empleado.
Okta y el control de daños
Okta ofrece una plataforma que permite a otras empresas gestionar mejor sus accesos internos, disminuyendo la cantidad de credenciales que los empleados necesitan para trabajar y facilitando al equipo de TI la tarea de agregar o quitar esos accesos. Lo anterior significa que la brecha de seguridad pondría en peligro a una gran cantidad de organizaciones.
Durante el día, Okta confirmó que el acceso no autorizado existió, pero aclaró algunas cosas:
- Ocurrió en enero, se mantuvo por 5 días y se limitó a la cuenta de un ingeniero de soporte, la cual solo puede ver tickets internos de ayuda y reiniciar contraseñas sin conocerlas
- La cuenta de soporte afectada fue suspendida en enero
- El incidente afectó al 2,5% de sus clientes, los cuales están siendo contactados para recibir un reporte más detallado
Según el Wall Street Journal, Okta declaró hace poco que cuenta con 15 mil clientes, por lo que los clientes afectados serían 375.
Lapsu$ y sus otras polémicas
Esta no sería la primera vez que Lapsus$ hace ruido, ya que el grupo es conocido por otras brechas de seguridad importantes en los últimos días. Estos eventos han afectado a empresas como Ubisoft, Microsoft y Nvidia, filtrando gigabytes de información interna y confidencial.
En esta ocasión encontraron que las declaraciones de Okta eran fake news, por lo que respondieron:
- El acceso a los paneles de administración de la empresa se mantuvo por 2 meses y las credenciales obtenidas sí poseían privilegios de administrador.
- Dentro de los sistemas internos, encontraron claves privadas de servidores siendo compartidas en canales de Slack abiertos a varios integrantes de Okta.
Todavía no hay claridad completa sobre a los integrantes del grupo y su origen, pero la policía de Londres detuvo el día jueves 25 a siete adolescentes de entre 16 y 21 años, acusándolos de estar involucrados en los hackeos. Uno de los detenidos fue previamente doxxeado - es decir, su identidad real fue revelada sin su consentimiento - en redes sociales por compañeros e investigadores.
Las reacciones de la comunidad de ciberseguridad
El incidente ha levantado críticas de la comunidad de expertos en ciberseguridad hacia Okta, dado que demoraron meses en dar aviso de la ocurrencia de este evento.
También ha revivido la eterna discusión sobre el equilibrio entre los beneficios de la centralización de tareas críticas de seguridad en empresas especializadas y el aumento en el impacto en caso de que estas sean vulneradas.