Non si dorme un sonno tranquillo dalle parti di San Francisco. Come confermato dalla stessa azienda (che ha rilasciato una stringata dichiarazione a Bleeping Computer), Okta ha visto alcuni dati dei suoi clienti finire nel canale Telegram del gruppo di hacker Lapsus$. Questi ultimi hanno pubblicato delle schermate di quelli che sembrano essere, a tutti gli effetti, dati dei clienti dell’azienda leader nella protezione delle autenticazioni degli utenti risalenti al 21 gennaio 2022, data in cui – stando a quanto dichiarato dal gruppo di hacker – c’è stata una sorta di intrusione all’interno dei sistemi, sfruttando un accesso da “superutente/amministratore” all’interno del portale Okta.com. Dunque non un furto di dati: gli hacker hanno trovato un modo per entrare nella dashboard, di fatto, di Okta, risucendo in questo modo ad avere accesso alle varie sezioni dedicate ai clienti.
LEGGI ANCHE > Il phishing che si rende quasi irrilevabile: cos’è il Browser-in-the-Browser
«Okta è a conoscenza dei report su questo tema e sta attualmente indagando. Forniremo aggiornamenti non appena saranno a disposizione nuove informazioni» – è questo quanto dichiarato, in maniera molto sbrigativa, dall’azienda che ha sede a San Francisco. Ma di cosa si occupa Okta? Offre uno strumento alle aziende clienti per gestire, attraverso il cloud, i vari accessi dei dipendenti, dei partner esterni o dei clienti stessi delle aziende che supporta. In questo modo, si propone di limitare al massimo i rischi, per le aziende, di intrusioni indebite all’interno dei propri sistemi. Si tratta, dunque, di una multinazionale – quotata in borsa – che opera nel settore della sicurezza informatica, il cui database – attraverso la conquista di un superaccesso da parte di un gruppo di hacker – è stato violato. Una situazione che può decisamente creare qualche imbarazzo.
Se si considera la portata dei clienti di Okta, si capisce quale sia la portata del problema che – potenzialmente – l’intrusione di Lapsus$ potrebbe andare a creare: i servizi di Okta sono basati sul cloud Amazon Web Services e – nel 2020 – figuravano tra i clienti dell’azienda Zoominfo, JetBlue, Nordstrom, MGM Resorts International e il Dipartimento di giustizia degli Stati Uniti. Anche in Italia, da diversi anni, Okta può contare su partner e su una trentina di reseller che propongono i servizi della multinazionale a diverse aziende e istituzioni.
Il gruppo Lapsus$ è abbastanza nuovo nel panorama della cybersicurezza glocale, operando allo scoperto a partire dal mese di dicembre del 2021. Non si tratta di una vera e propria gang di ransomware: non va a crittografare i dati su cui riesce a mettere le mani, ma li ruba soltanto, applicando una successiva estorsione. Il furto avviene – come hanno specificato anche nel caso dell’attacco a Okta – attraverso tecniche di phishing e non attraverso l’installazione di malware. Inizialmente, la loro minaccia non era stata presa così in considerazione dagli esperti, ma le loro successive azioni hanno puntato decisamente l’attenzione sul loro gruppo che, tra le altre cose, può vantare una incredibile presenza sui social network, in modo particolare su un attivissimo canale Telegram, attraverso il quale comunicano i risultati delle loro azioni.
Negli ultimi giorni, avrebbero messo nel mirino anche l’ecosistema Microsoft, facendo trapelare 37 GB di codice sorgente relativo a Bing, Cortana e altri progetti del colosso di Redmond.