Le pirate Microsoft LAPSUS$ vient de faire une nouvelle victime

LAPSUS$, le groupe à l'origine du piratage sans précédent de Nvidia , a réussi à infiltrer une autre société, la société d'authentification de sécurité numérique Okta.

Il a été confirmé qu'un incident de cybersécurité s'était produit en janvier, l'enquête d'une société médico-légale révélant qu'un pirate informatique avait effectivement eu accès à l'ordinateur portable d'un ingénieur de support Okta pendant cinq jours complets.

Les conséquences pour les dernières victimes de LAPSUS$ ne peuvent être sous-estimées : le service d'Okta est utilisé par certaines des plus grandes entreprises du monde, notamment FedEx et T-Mobile. Les agences gouvernementales telles que la Federal Communications Commission s'appuient également sur sa technologie d'authentification.

Dans un communiqué , Okta a souligné que seul un faible pourcentage de ses clients était concerné.

"Après une analyse approfondie de ces réclamations, nous avons conclu qu'un petit pourcentage de clients – environ 2,5 % – ont potentiellement été impactés et dont les données ont pu être consultées ou traitées."

Les derniers commentaires d'Okta interviennent après que LAPSUS$ a publié plusieurs photos sur sa chaîne Telegram contenant des informations sensibles relatives à la violation.

La réponse d'Okta à l'incident a provoqué une réaction sévère de la part de certains, dont Dan Starner, ingénieur logiciel d'infrastructure chez Salesforce. Comme initialement rapporté par VentureBeat , Starnera tweeté :

J'ai dit hier soir que c'était très, très mauvais.

Aujourd'hui, j'ai fait confiance à @okta et j'ai pensé que tout allait bien.

Maintenant, je sais que c'est très, très mauvais et que je ne fais plus confiance à @okta . La sécurité est difficile et des failles se produisent, mais mentir par omission est pire que de nous dire que nos données peuvent être compromises. https://t.co/TjaXt08RKc

— Dan Starner (@dan_starner) 23 mars 2022

Bill Demirkapi, un chercheur indépendant en sécurité, a également fait part de ses réflexions sur la situation, comme le rapporte Reuters :

"À mon avis, il semble qu'ils essaient de minimiser l'attaque autant que possible, allant jusqu'à se contredire directement dans leurs propres déclarations."

LAPSUS$ a déclaré sur sa chaîne Telegram que son "objectif était UNIQUEMENT sur les clients d'Okta", par opposition à l'entreprise elle-même. Il a également ajouté que "l'impact potentiel sur les clients d'Okta n'est PAS limité".

"Je suis à peu près certain que la réinitialisation des mots de passe et [l'authentification multifacteur] entraînerait une compromission complète de nombreux systèmes clients", a déclaré le groupe de piratage.

Il s'agit de notre 3e tentative de partage de la 5e à la 8e photo. LAPSUS$ a affiché beaucoup d'informations sensibles et/ou d'informations sur les utilisateurs, à tel point que nous finissons par en manquer pour en censurer certaines.

Photos 5 à 8 jointes ci-dessous. pic.twitter.com/KGlI3TlCqT

— vx-underground (@vxunderground) 22 mars 2022

Ailleurs, le porte-parole d'Okta, Chris Hollis, a souligné dans une déclaration antérieure à The Verge que l'attaque était limitée à l'activité initialement détectée en janvier. Cependant, LAPSUS$ a affirmé avoir eu accès au compte « Superuser/Admin » pendant deux mois. À cette fin, le groupe a déclaré qu'Okta stockait apparemment les clés Amazon Web Services (AWS) dans les canaux Slack.

Okta n'est pas la seule entreprise de haut niveau que LAPSUS$ a ciblée cette semaine. Le géant du logiciel Microsoft a également confirmé qu'un acteur malveillant malveillant avait réussi à obtenir un "accès limité" à ses systèmes . En conséquence, les codes sources de Cortana et du moteur de recherche Bing auraient été divulgués.

Auparavant, LAPSUS$ avait divulgué le code source du code DLSS propriétaire de Nvidia , qui faisait partie d'un piratage plus important de 1 To .