Okta ขออภัย น้อมรับผิดสมควรเตือนลูกค้าให้เร็วกว่านี้

เมื่อสัปดาห์ก่อน Okta ได้สารภาพว่าข้อมูลลูกค้ากว่า 2.5% ของตน ถูกแก๊งแฮ็กเกอร์ Lapsus$ เข้าถึงได้จริง ล่าสุดบริษัทได้ออกมาขอโทษที่ควรแจ้งลูกค้าให้ไวกว่านี้ โดยยังมีข้อมูลวงในอธิบายถึงเส้นทางการโจมตีบริษัท Supply Chain ต้นเรื่องว่าเกิดอะไรขึ้น

Credit ; Okta

Okta เป็นบริษัทชั้นนำที่ให้บริการโซลูชันด้านระบุตัวตน (identity) มีลูกค้ารายใหญ่มากมาย ประเด็นก็คือเมื่อช่วง 20 มกราคมที่ผ่านมา มีความพยายามเข้าถึง Okta จากบัญชีของพนักงานบริษัท Sitel ซึ่ง ณ เวลานั้น Okta ตรวจจับได้และแจ้งให้ Sitel ทราบ โดย Sitel ก็คือบริษัทที่ทำงานเรื่องดูแลลูกค้า ในเวลาต่อมาพอจะจับความได้ว่าบัญชีของพนักงาน Sitel ถูกแทรกแซงเข้าให้แล้ว ทำให้ Sitel ต้องจ้างผู้เชี่ยวชาญจาก Madiant เข้ามาช่วยดู จนได้ข้อสรุปวันที่ 28 กุมภาพันธ์ รายงานสู่มือ Sitel 10 มีนาคม และ 17 มีนาคมถึงมือ Okta แต่เพียงไม่กี่วันถัดมา 22 มีนาคม แฮ็กเกอร์ Lapsus$ ก็ได้โพสต์โชว์รูปหน้าจอของเครื่องที่ตนเข้าถึงได้ และดูเหมือนจะช้าไปมาก เพราะ Okta เสียชื่อไปก่อนแล้วจนออกมายอมรับ รวมถึงเขียนแสดงความสำนึกผิดว่าตนน่าจะเค้นข้อมูลจาก Sitel ให้มากกว่านี้ ไม่น่าประมาทละเลยไป

เนื้อหาต่อไปในส่วนนี้สำนักข่าว TechCrunch อ้างว่าตนได้รับข้อมูลวงในเกี่ยวกับรายงานของ incident เดียวกับที่ Okta ได้รับ ซึ่งมีการเปิดเผยไทม์ไลน์ของเหตุการณ์โจมตีดังนี้

  • Sitel พบว่า VPN Gateway ของตนจาก Sykes ถูกโจมตี
  • แฮ็กเกอร์ใช้การเข้าถึงแบบรีโมตและใช้เครื่องมือแฮ็กเพื่อแทรกแซงและสำรวจเครือข่ายของ Sitel อยู่กว่า 5 วัน
  • Sitel คาดว่า Azure Cloud ของตนก็ไม่รอดจากการโจมตี
  • วันที่  21 มกราคม แฮ็กเกอร์สามารถเข้าถึงไฟล์ที่ชื่อ ‘DomAdmins-LastPass.xlsx’ ซึ่งภายในบรรจุข้อมูลรหัสผ่านของบัญชีโดเมนที่ Export มาจาก LastPass Password manager
  • ห้าชั่วโมงถัดมาแฮ็กเกอร์เข้าไปสร้างบัญชีตนเองบน VPN ภายใต้กลุ่ม tenant administrator หากถูกพบและถูกดีดออกจะได้กลับเข้ามาใหม่ได้
  • หลังจากเข้าถึงไฟล์ Spreadsheet กว่า 14 ชั่วโมง Sitel ได้รีเซ็ตรหัสผ่านภายในบริษัทและตัดการเชื่อมต่อของคนร้ายออกไป

และนี่คือเหตุการณ์ทั้งหมดที่ Okta ต้องเผชิญกับความผิดพลาดที่ตนไม่ได้ตามเรื่องต่ออย่างจริงจัง ซึ่งสะท้อนให้เห็นว่าการโจมตี Supply Chain นั้นซับซ้อนและละเอียดอ่อนมาเพียงไร

ที่มา : https://techcrunch.com/2022/03/28/lapsus-passwords-okta-breach/ และ https://www.zdnet.com/article/okta-we-made-a-mistake-over-lapsus-breach-notification/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalk Webinar: TRUSTED THIRD-PARTY RISK MANAGEMENT – Security Rating. กลยุทธ์ในการเปลี่ยนรูปแบบการจัดการ, การรายงาน และ การสื่อสารเรื่องความเสี่ยงของภัยคุกคามทางด้าน Cyber

TechTalkThai ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ "TRUSTED THIRD-PARTY RISK MANAGEMENT - Security Rating. กลยุทธ์ในการเปลี่ยนรูปแบบการจัดการ, การรายงาน และ การสื่อสารเรื่องความเสี่ยงของภัยคุกคามทางด้าน Cyber" เพื่อเรียนรู้โซลูชันการประเมินความเสี่ยงให้องค์กรของท่านจาก SecurityScorecard ทั้งมุมมองภายนอกและ Third party ที่เกี่ยวข้อง

ขอเชิญร่วมอบรมฟรี “Workshop เส้นทางสู่นักเจาะระบบ” เรียนรู้พื้นฐานสู่สายอาชีพ Cybersecurity [23-24 ก.ค. 2022]

พลาดไม่ได้สำหรับผู้ที่สนใจเริ่มต้นหรือย้ายสายอาชีพเข้าสู่วงการ Cybersecurity ที่กำลังมาแรง กับงานอบรมฟรี "Workshop เส้นทางสู่นักเจาะระบบ" ในวันเสาร์ที่ 23 และวันอาทิตย์ที่ 24 ก.ค. 2022 ณ BITEC ห้อง Silk 1-2 เพื่อปูพื้นฐานทางเทคนิคด้านการเจาะระบบและการตรวจสอบความมั่นคงปลอดภัยเบื้องต้น (Ethical Hacking & Security) และสัมผัสประสบการณ์การทำงานในสายงานด้านนี้ด้วยตนเอง เป็นการเปิดโอกาสสำหรับก้าวแรกสู่สายงานด้านนี้โดยเฉพาะ พร้อมให้สามารถนำความรู้ไปประยุกต์ใช้ในสายงานของตนเองได้