Lapsus$ hizmeti sunan ve dünya çapında binlerce şirket tarafından kullanılan Okta, destek ekibindeki bir çalışanın kullanmış olduğu bilgisayara Lapsus$ grubu tarafından bu yılın Ocak ayı içerisinde yetkisiz bir erişim sağlanıp, 5 gün boyunca da bu erişim devam etmiş. Gerçekleşen bu hack olayı şirket tarafından doğrulanırken, mevcuttaki müşterilerinin yaklaşık yüzde 2.5’nin etkilendiği belirtildi.
Lapsus$ grubu, 22 Mart Salı günü kendi Telegram kanalında Okta’nın müşteri verilerine ve arka uç yönetim konsollorına erişim kazandıklarını iddia ettikleri ekran görüntülerini yayınlamışlardı. Yayınlanan ekran görüntülerine bakıldığında, tarihler 21 Ocak 2022’yi gösteriyor ve saldırının aylar önce gerçekleşmiş olabileceğine işaret ediyor. Yayınlanan diğer bir ekran görüntüsünde ise Okta’nın yönetici paneli kullanarak müşteri şifrelerini değiştirebileceği de yer alıyor.
Grup tarafından paylaşılan ekran görüntülerinden bir tanesinde, kullanıcının şifresini sıfırlayabilecekleri panel göze çarpıyor. Yine yayınlanan başka bir ekran görüntüsünde Okta’nın Slack kanallarındaki mesajlar göze çarpıyor.
Yine yayınlanan ekran görüntülerine bakıldığında, Okta’nn yönetici konsolunda “süper kullanıcı” yetkisine sahip kullanıcıya ait bir görüntü yer alıyor. Ve bu görüntüde ayrıca Okta çalışanına ait bir e-posta içeren URL’de yer alıyor. Okta’nın CEO’su 22 Mart günü Twitter üzerinden paylaştığı gönderide bunu doğrulayarak, yaptıkları araştırmada üçüncü parti kaynaklı bir destek mühendisine ait heabın ele geçirilmeye çalışıldığını tespit etmişler.
Bu gönderiden bir gün sonra Okta tarafından yapılan paylaşımda; şirket tarafından gerekli iddialar hakkında geniş çaplı bi analiz yapıldığı ve müşterilerinin yaklaşık yüzde 2.5’nun etkilendiği belirtildi. Ki şirketin 2 Mart’ta yayınladığı mali sonuçlara göre aralarında JetBlue, Nordstrom, Siemens, Slack, Takeda, Teach for America ve Twilio gibi bilinen şirketlerin yanında küresel olarak 15 binden fazla müşterisi bulunuyormuş.
Hedef Okta veri tabanı değil, müşterileriydi.
Lapsus$ grubu tarafından yayınlanan diğer bir Telegram gönderisinde amaçlarının Okta’nın veri tabanı değil, şirketin müşterileri olduğunu belirttiler. Ayrıca Okta’ya ait hiçbir veritabanına erişmediklerini ve çalmadıklarını da aynı gönderide belirttiler.
