قالت Okta إن الجدول الزمني المزعوم الذي تم تسريبه لخرق Lapsus$ في يناير، والذي ربما أثر على ما يصل إلى 366 عميل Okta، "يبدو أنه" جزء من التقرير عن الحادث.
خلال الاختراق الذي حدث في الفترة من 16 إلى 21 يناير، تمكنت مجموعة المتسللين Lapsus$ من الوصول إلى نظام مهندس دعم في Sitel، وهو مزود خدمة Okta تابع لجهة خارجية، وفقًا لـ Okta.
على موقع تويتر Twitter يوم الإثنين، نشر Bill Demirkapi الباحث الأمني المستقل "جدول زمني للاقتحام" من صفحتين للحادث.
في أعقاب خرق يناير، استأجرت سيتل Sitel شركة للطب الشرعي السيبراني cyber forensic firm للتحقيق في الحادث. حدد Demirkapi شركة الطب الشرعي على أنها Mandiant.
وقالت Okta في بيان يوم الاثنين "نحن على علم بالإفصاح العام عما يبدو أنه جزء من تقرير أعدته سيتل بشأن الحادث".
وقالت الشركة إن محتوى الوثائق "يتسق" مع الإطار الزمني للانتهاك الذي كشفت عنه أوكتا سابقًا.
تم الكشف عن اختراق يناير فقط من قبل Okta يوم الثلاثاء الماضي، بعد أن نشرت Lapsus$ لقطات شاشة على Telegram كدليل على الخرق.
قالت أوكتا إنها تلقت تقريرًا موجزًا عن الحادث من سيتل في 17 مارس.
وقالت الشركة في بيانها يوم الاثنين "Okta ملتزمة بشدة بأمن عملائنا". "بمجرد تلقينا هذا التقرير الموجز من Sitel في 17 مارس، كان يجب أن نتحرك بسرعة أكبر لفهم تداعياته. نحن مصممون على التعلم من هذا الحادث وتحسينه".
خلال الاختراق الذي حدث في الفترة من 16 إلى 21 يناير، تمكنت مجموعة المتسللين Lapsus$ من الوصول إلى نظام مهندس دعم في Sitel، وهو مزود خدمة Okta تابع لجهة خارجية، وفقًا لـ Okta.
على موقع تويتر Twitter يوم الإثنين، نشر Bill Demirkapi الباحث الأمني المستقل "جدول زمني للاقتحام" من صفحتين للحادث.
في أعقاب خرق يناير، استأجرت سيتل Sitel شركة للطب الشرعي السيبراني cyber forensic firm للتحقيق في الحادث. حدد Demirkapi شركة الطب الشرعي على أنها Mandiant.
وقالت Okta في بيان يوم الاثنين "نحن على علم بالإفصاح العام عما يبدو أنه جزء من تقرير أعدته سيتل بشأن الحادث".
وقالت الشركة إن محتوى الوثائق "يتسق" مع الإطار الزمني للانتهاك الذي كشفت عنه أوكتا سابقًا.
تم الكشف عن اختراق يناير فقط من قبل Okta يوم الثلاثاء الماضي، بعد أن نشرت Lapsus$ لقطات شاشة على Telegram كدليل على الخرق.
قالت أوكتا إنها تلقت تقريرًا موجزًا عن الحادث من سيتل في 17 مارس.
وقالت الشركة في بيانها يوم الاثنين "Okta ملتزمة بشدة بأمن عملائنا". "بمجرد تلقينا هذا التقرير الموجز من Sitel في 17 مارس، كان يجب أن نتحرك بسرعة أكبر لفهم تداعياته. نحن مصممون على التعلم من هذا الحادث وتحسينه".
تفاصيل جديدة
يبدأ الجدول الزمني لـ Mandiant الذي شاركه Demirkapi في 16 يناير، مع التسوية الأولية لـ Sitel.
يبدأ الجدول الزمني المفصل الذي نشرته Okta مسبقًا في 20 يناير، ولا يتضمن أي تفاصيل حول ما حدث قبل تلك النقطة.
أشارت Okta إلى أنه لم يكن قادرًا على تقديم تفاصيل حول الحادث قبل 20 يناير- عندما علمت الشركة بالهجوم لأول مرة- لأنه لم يكن لديها أي دليل على أنشطة مجموعة القراصنة حتى تنبيه 20 يناير.
الوثيقة التي شاركها Demirkapi تتبع أنشطة ممثل التهديد من التسوية الأولية، إلى امتياز التصعيد، إلى الحركة الجانبية وإعادة التأهيل الداخلي، إلى تأسيس موطئ قدم في النظام. وتشير الوثيقة إلى أن المهاجم أنجز "مهمة كاملة" في 21 يناير.
يوم الجمعة، أصدرت أوكتا اعتذارًا عن تعاملها مع خرق يناير. قالت الشركة إن مورّد أمن الهوية "ارتكب خطأ" في رده على الحادث، و "يجب أن يكون لديه معلومات أكثر نشاطا وقوة" حول ما حدث في الخرق.
جاء الاعتذار بعد نقاش في مجتمع الأمن السيبراني حول افتقار Okta إلى الكشف عن الحادث الذي استمر شهرين. ولم يصل بيان أوكتا يوم الجمعة إلى حد القول إن الشركة تعتقد أنه كان عليها الكشف عما كانت تعرفه في وقت أقرب.
ومع ذلك، قال Okta إن مهندسي الدعم في Sitel لديهم وصول "محدود"، وأن مهندسي الدعم من الأطراف الثالثة لا يمكنهم إنشاء مستخدمين أو حذف مستخدمين أو تنزيل قواعد بيانات خاصة بالعملاء.
وقال أوكتا يوم الجمعة "نحن واثقون في استنتاجاتنا أن خدمة Okta لم يتم انتهاكها ولا توجد إجراءات تصحيحية يجب أن يتخذها عملاؤنا". "نحن واثقون من هذا الاستنتاج لأن Sitel (وبالتالي ممثل التهديد الذي لم يكن لديه سوى حق الوصول الذي كان لدى Sitel فقط) لم يتمكن من إنشاء المستخدمين أو حذفهم أو تنزيل قواعد بيانات العملاء".
يبدأ الجدول الزمني لـ Mandiant الذي شاركه Demirkapi في 16 يناير، مع التسوية الأولية لـ Sitel.
يبدأ الجدول الزمني المفصل الذي نشرته Okta مسبقًا في 20 يناير، ولا يتضمن أي تفاصيل حول ما حدث قبل تلك النقطة.
أشارت Okta إلى أنه لم يكن قادرًا على تقديم تفاصيل حول الحادث قبل 20 يناير- عندما علمت الشركة بالهجوم لأول مرة- لأنه لم يكن لديها أي دليل على أنشطة مجموعة القراصنة حتى تنبيه 20 يناير.
الوثيقة التي شاركها Demirkapi تتبع أنشطة ممثل التهديد من التسوية الأولية، إلى امتياز التصعيد، إلى الحركة الجانبية وإعادة التأهيل الداخلي، إلى تأسيس موطئ قدم في النظام. وتشير الوثيقة إلى أن المهاجم أنجز "مهمة كاملة" في 21 يناير.
يوم الجمعة، أصدرت أوكتا اعتذارًا عن تعاملها مع خرق يناير. قالت الشركة إن مورّد أمن الهوية "ارتكب خطأ" في رده على الحادث، و "يجب أن يكون لديه معلومات أكثر نشاطا وقوة" حول ما حدث في الخرق.
جاء الاعتذار بعد نقاش في مجتمع الأمن السيبراني حول افتقار Okta إلى الكشف عن الحادث الذي استمر شهرين. ولم يصل بيان أوكتا يوم الجمعة إلى حد القول إن الشركة تعتقد أنه كان عليها الكشف عما كانت تعرفه في وقت أقرب.
ومع ذلك، قال Okta إن مهندسي الدعم في Sitel لديهم وصول "محدود"، وأن مهندسي الدعم من الأطراف الثالثة لا يمكنهم إنشاء مستخدمين أو حذف مستخدمين أو تنزيل قواعد بيانات خاصة بالعملاء.
وقال أوكتا يوم الجمعة "نحن واثقون في استنتاجاتنا أن خدمة Okta لم يتم انتهاكها ولا توجد إجراءات تصحيحية يجب أن يتخذها عملاؤنا". "نحن واثقون من هذا الاستنتاج لأن Sitel (وبالتالي ممثل التهديد الذي لم يكن لديه سوى حق الوصول الذي كان لدى Sitel فقط) لم يتمكن من إنشاء المستخدمين أو حذفهم أو تنزيل قواعد بيانات العملاء".
