Okta sur la gestion de la violation de Lapsus $ : “Nous avons fait une erreur”

Okta a publié des excuses pour sa gestion de la violation de janvier d’un fournisseur de support tiers, qui a pu avoir un impact sur des centaines de ses clients.

Le fournisseur de sécurité d’identité “a fait une erreur” dans sa réponse à l’incident, et “devrait avoir des informations plus activement et avec plus de force” sur ce qui s’est passé lors de la violation, a déclaré la société dans la déclaration non signée, incluse dans une FAQ publiée sur le site Web d’Okta aujourd’hui.

Les excuses font suite à un débat vigoureux au sein de la communauté de la cybersécurité ces derniers jours sur le manque de divulgation d’Okta pour l’incident de deux mois. La violation a eu un impact sur le sous-traitant de support Sitel, qui a donné au groupe de hackers Lapsus$ la possibilité d’accéder à jusqu’à 366 clients Okta, selon Okta.

La FAQ d’Okta va plus loin que les communications publiques précédentes pour dire que la société a fait des choix imparfaits dans sa gestion de l’incident – bien que la déclaration s’arrête avant de dire qu’Okta pense qu’elle aurait dû divulguer ce qu’elle savait plus tôt.

« Nous voulons reconnaître que nous avons fait une erreur. Sitel est notre fournisseur de services dont nous sommes responsables en dernier ressort », indique la déclaration dans la FAQ.

“En janvier, nous ne connaissions pas l’étendue du problème de Sitel – seulement que nous avions détecté et empêché une tentative de prise de contrôle de compte et que Sitel avait engagé une société d’investigation tierce pour enquêter. À ce moment-là, nous n’avions pas conscience qu’il y avait un risque pour Okta et nos clients », indique le communiqué d’Okta. “Nous devrions avoir des informations plus activement et avec plus de force de la part de Sitel.”

“À la lumière des preuves que nous avons recueillies la semaine dernière, il est clair que nous aurions pris une décision différente si nous avions été en possession de tous les faits dont nous disposons aujourd’hui”, déclare Okta dans le communiqué.

Les excuses et l’explication ont été présentées comme une réponse à la question : “Pourquoi Okta n’a-t-il pas informé les clients en janvier ?” VentureBeat a contacté Sitel pour un commentaire.

Lent à dévoiler ?

La déclaration de la FAQ fait suite aux critiques de certains de la gestion de l’incident par Okta. Chez Tenable, une entreprise de cybersécurité et client d’Okta, le PDG Amit Yoran a publié une “lettre ouverte à Okta”, dans laquelle il a déclaré que le fournisseur avait non seulement tardé à divulguer l’incident, mais avait également commis une série d’autres faux pas dans ses communications.

“Lorsque vous avez été dénoncé par LAPSUS$, vous avez balayé l’incident et n’avez littéralement fourni aucune information exploitable aux clients”, a écrit Yoran.

Pendant ce temps, Jake Williams, un consultant en cybersécurité bien connu et membre du corps professoral de l’IANS, a écrit sur Twitter qui, sur la base de la gestion par Okta de l’incident Lapsus $, “Honnêtement, je ne sais pas comment Okta regagne la confiance des organisations d’entreprise.”

Okta, un important fournisseur d’authentification et de gestion d’identité, a vu son cours de bourse chuter de 19,4 % depuis la divulgation.

La société a révélé cette semaine que Lapsus$ avait accédé à l’ordinateur portable d’un ingénieur du support client de Sitel du 16 au 21 janvier, donnant à l’acteur menaçant l’accès à jusqu’à 366 clients.

Cependant, Okta n’a rien divulgué sur l’incident jusqu’à mardi, et seulement alors en réponse à la publication de captures d’écran par Lapsus $ sur Telegram comme preuve de la violation.

Okta CSO David Bradbury avait auparavant pointé du doigt Sitel pour le moment de la divulgation. Dans un article de blog, Bradbury s’est dit “très déçu” par le fait qu’il a fallu deux mois à Okta pour recevoir un rapport sur l’incident de Sitel, qui avait engagé une société de cybercriminalité pour enquêter. (Sitel a refusé de commenter ce point.)

Bradbury avait précédemment présenté des excuses, mais ne faisant pas directement référence à la gestion de l’incident par Okta. “Nous nous excusons profondément pour les désagréments et l’incertitude que cela a causés”, avait-il déclaré dans un précédent post.

Le CSO d’Okta avait également déclaré plus tôt qu’après avoir reçu un rapport de synthèse de Sitel le 17 mars, la société “aurait dû agir plus rapidement pour comprendre [the report’s] conséquences. »

La FAQ publiée aujourd’hui ne fournit pas de nouveaux détails sur la façon dont les clients ont pu être touchés par la violation. La déclaration d’Okta souligne que la société pense que Sitel – et donc Lapsus$ – n’aurait pas été en mesure de télécharger les bases de données des clients ou de créer/supprimer des utilisateurs.

Aucune preuve avant le 20 janvier

La chronologie d’Okta pour l’incident commence le 20 janvier (une chronologie qui a été reproduite dans le post de la FAQ). Cependant, Lapsus$ a pu accéder à l’ordinateur portable de l’ingénieur de support tiers du 16 au 21 janvier, a déclaré Okta, citant le rapport médico-légal. Certains avaient suggéré à VentureBeat que cela laissait les premiers jours de la violation inexpliqués.

Dans la FAQ — en réponse à la question « que s’est-il passé du 16 au 20 janvier ? – Okta a suggéré qu’il n’y avait aucune preuve de quelque chose de malveillant sur les systèmes ou les clients d’Okta pendant cette période.

« Le 20 janvier, Okta a été témoin d’une tentative d’accès direct au réseau Okta à l’aide du compte Okta d’un employé de Sitel. Cette activité a été détectée et bloquée par Okta, et nous avons rapidement informé Sitel, conformément à la chronologie ci-dessus », déclare Okta dans la FAQ, faisant référence à l’alerte qui a conduit l’entreprise à prendre connaissance de l’intrusion de Lapsus$.

“En dehors de cette tentative d’accès, il n’y avait aucune autre preuve d’activité suspecte dans les systèmes Okta”, indique la FAQ.

VentureBeat a contacté Okta pour un commentaire.

L’alerte du 20 janvier a été déclenchée par un nouveau facteur, un mot de passe, ajouté au compte Okta d’un employé de Sitel dans un nouvel emplacement. Okta dit également avoir “vérifié” la période de cinq jours pour l’intrusion en “examinant nos propres journaux”.

“Confiant” dans les conclusions

En réponse à la question de savoir « quelles données/informations ont été consultées » pendant cette période de cinq jours, Okta n’a pas fourni de nouveaux détails et a réitéré les points précédents sur le fait que les ingénieurs de support de Sitel ont un accès « limité ».

Faisant écho à des déclarations antérieures, Okta a déclaré que ces ingénieurs tiers ne peuvent pas créer d’utilisateurs, supprimer des utilisateurs ou télécharger des bases de données appartenant à des clients.

“Les ingénieurs de support sont également en mesure de faciliter la réinitialisation des mots de passe et des facteurs d’authentification multifacteur pour les utilisateurs, mais ne sont pas en mesure de choisir ces mots de passe”, a déclaré Okta dans la FAQ. “Afin de profiter de cet accès, un attaquant devrait indépendamment accéder à un compte de messagerie compromis pour l’utilisateur cible.”

En fin de compte, “nous sommes convaincus dans nos conclusions que le service Okta n’a pas été violé et qu’aucune mesure corrective ne doit être prise par nos clients”, a déclaré Okta. “Nous sommes confiants dans cette conclusion car Sitel (et donc l’acteur de la menace qui n’avait que l’accès que Sitel avait) n’a pas été en mesure de créer ou de supprimer des utilisateurs, ou de télécharger des bases de données clients.”

Okta a ajouté dans la FAQ qu’il avait contacté tous les clients potentiellement touchés par l’incident, et “nous avons également informé les clients non touchés”.

Bloomberg a rapporté mercredi que Lapsus$ est dirigé par un jeune de 16 ans qui vit avec sa mère en Angleterre. Hier, la BBC a rapporté que la police de la ville de Londres avait arrêté sept adolescents en lien avec le groupe Lapsus$.

On ignore si le chef du groupe faisait partie des personnes arrêtées. Lapsus $ a récemment été publié sur son compte Telegram plus tôt dans la journée.