Ein unabhängiger Sicherheitsforscher hat einen detaillierten Zeitplan der Ereignisse veröffentlicht, die sich ereigneten, als die berüchtigte LAPSUS$-Erpresserbande Ende Januar 2022 bei einem Drittanbieter einbrach, der mit dem Cybervorfall bei Okta in Verbindung steht.
In einer Reihe von Screenshots, die auf Twitter gepostet wurden, veröffentlichte Bill Demirkapi eine zweiseitige „Zeitleiste des Einbruchs“, die angeblich von Mandiant erstellt wurde, der Cybersecurity-Firma, die von Sitel beauftragt wurde, den Sicherheitsverstoß zu untersuchen. Sitel ist durch die Übernahme von Sykes Enterprises im September 2021 der Drittanbieter, der im Auftrag von Okta den Kundensupport übernimmt.
Der Anbieter von Authentifizierungsdiensten teilte letzte Woche mit, dass er am 20. Januar auf einen neuen Faktor aufmerksam gemacht wurde, der dem Okta-Konto eines Sitel-Kundenbetreuers hinzugefügt wurde.
Der Vorfall kam erst zwei Monate später ans Licht, nachdem LAPSUS$ am 22. März Screenshots auf ihrem Telegram-Kanal gepostet hatte, die den Verstoß belegen.
Der Vorfall, durch den die Angreifer Zugang zu fast 366 Okta-Kunden erhielten, ereignete sich innerhalb eines fünftägigen Zeitfensters zwischen dem 16. und 21. Januar, in dem die Hacker verschiedene Angriffsphasen durchführten, darunter die Ausweitung der Privilegien, nachdem sie zunächst Fuß gefasst hatten, die Aufrechterhaltung der Ausdauer, die seitliche Bewegung und die interne Erkundung des Netzwerks.
Okta behauptete, dass es Sitel am 21. Januar Hinweise auf die Kompromittierung mitgeteilt hatte und erst am 17. März einen zusammenfassenden Bericht über den Vorfall von Sitel erhielt.
Am 22. März, dem gleichen Tag, an dem die kriminelle Gruppe die Screenshots teilte, erhielt sie eine Kopie des vollständigen Untersuchungsberichts.
„Selbst als Okta im März den Mandiant-Bericht erhielt, in dem der Angriff explizit beschrieben wurde, ignorierten sie weiterhin die offensichtlichen Anzeichen dafür, dass ihre Umgebung angegriffen wurde, bis LAPSUS$ ihre Untätigkeit aufdeckte“, schrieb Demirkapi in einem Tweet.
In einer ausführlichen FAQ, die am 25. März veröffentlicht wurde, räumte das in San Francisco ansässige Unternehmen ein, dass es ein „Fehler“ war, die Nutzer nicht über den Angriff im Januar zu informieren.
„Angesichts der Beweise, die wir in der letzten Woche gesammelt haben, ist es klar, dass wir eine andere Entscheidung getroffen hätten, wenn wir im Besitz aller Fakten gewesen wären, die wir heute haben“, sagte Okta und fügte hinzu, dass es „aktiver und nachdrücklicher Informationen von Sitel hätte einfordern müssen“.
Die Entwicklung kommt, nachdem die City of London Police letzte Woche gegenüber The Hacker News erklärte, dass sieben Personen, die mit der LAPSUS$-Bande in Verbindung stehen, verhaftet und anschließend im Rahmen der Ermittlungen wieder freigelassen wurden. „Unsere Ermittlungen dauern noch an“, fügte die Behörde hinzu.