Okta indique que 366 entreprises clientes, soit environ 2,5 % de sa clientèle, ont été touchées par une faille de sécurité qui a permis à des pirates d’accéder au réseau interne de l’entreprise.
Le géant de l’authentification a admis le compromis après que le groupe de piratage et d’extorsion Lapsus$ a publié lundi des captures d’écran des applications et des systèmes d’Okta, environ deux mois après que les pirates ont eu accès pour la première fois à son réseau.
La violation a été initialement imputée à un sous-traitant anonyme qui fournit des services d’assistance à la clientèle à Okta. Dans une déclaration mise à jour mercredi, le responsable de la sécurité d’Okta, David Bradbury, a confirmé que le sous-traitant est une société appelée Sykes, qui a été acquise l’année dernière par le géant des centres de contact Sitel, basé à Miami.
Les sociétés de support client telles que Sykes et Sitel ont souvent un large accès aux organisations qu’elles prennent en charge pour faciliter les demandes des clients. Les pirates informatiques malveillants ciblaient auparavant les sociétés d’assistance à la clientèle, qui disposent souvent de défenses de cybersécurité plus faibles que certaines des entreprises hautement sécurisées qu’elles soutiennent. Microsoft et Roblox ont tous deux connu des compromis ciblés similaires des comptes des agents de support client qui ont conduit à l’accès à leurs systèmes internes.
Dans le cas d’Okta, les pirates de Lapsus$ étaient sur le réseau de Sitel pendant cinq jours du 16 au 21 janvier 2022 jusqu’à ce que les pirates soient détectés et démarrés à partir de son réseau, selon Bradbury.
Okta a fait l’objet de critiques considérables de la part de l’industrie de la sécurité au sens large pour sa gestion du compromis et le retard de plusieurs mois dans la notification des clients, qui a été découvert au même moment lorsque la nouvelle a éclaté sur les réseaux sociaux. Selon Bradbury, Sitel a engagé une société médico-légale anonyme pour enquêter, qui s’est terminée le 10 mars. Une semaine plus tard seulement, le rapport a été remis à Okta le 17 mars.
Bradbury a déclaré qu’il était « très déçu par la longue période qui s’est écoulée entre notre notification à Sitel et la publication du rapport d’enquête complet », et a admis qu’Okta « aurait dû agir plus rapidement » pour comprendre les implications du rapport.
Mais un e-mail d’un représentant de Sitel a contesté la manière dont Okta a qualifié le rapport, affirmant que la faille de sécurité « n’avait pas d’impact sur les systèmes ou réseaux hérités du groupe Sitel ; seul le réseau hérité de Sykes a été affecté. (Le représentant de Sitel a déclaré son e-mail « off the record », ce qui oblige les deux parties à accepter les conditions à l’avance. Nous imprimons les réponses car nous n’avons pas eu la possibilité de refuser.) L’e-mail a ajouté : « Nous n’avons trouvé aucune preuve d’une violation de la sécurité des systèmes ou des réseaux du client du côté de l’ancien Sykes ou du groupe Sitel. » L’e-mail indiquait également que le Sitel n’avait aucune preuve d’une violation de données, mais la société a refusé de dire si elle avait les moyens, tels que les journaux, de déterminer quelles données, le cas échéant, ont été consultées ou exfiltrées par les attaquants. Sitel n’a pas nommé la société médico-légale qui a enquêté sur la violation.
Une déclaration antérieure attribuée à la porte-parole de Sitel, Rebecca Sanders, a déclaré: «À la suite de l’enquête, ainsi que de notre évaluation continue des menaces externes, nous sommes convaincus qu’il n’y a plus de risque pour la sécurité. Nous ne sommes pas en mesure de commenter notre relation avec des marques spécifiques ou la nature des services que nous fournissons à nos clients.
Okta n’a pas encore répondu aux questions de TechCrunch concernant la violation.