Okta ขออภัย น้อมรับผิดสมควรเตือนลูกค้าให้เร็วกว่านี้

เมื่อสัปดาห์ก่อน Okta ได้สารภาพว่าข้อมูลลูกค้ากว่า 2.5% ของตน ถูกแก๊งแฮ็กเกอร์ Lapsus$ เข้าถึงได้จริง ล่าสุดบริษัทได้ออกมาขอโทษที่ควรแจ้งลูกค้าให้ไวกว่านี้ โดยยังมีข้อมูลวงในอธิบายถึงเส้นทางการโจมตีบริษัท Supply Chain ต้นเรื่องว่าเกิดอะไรขึ้น

Credit ; Okta

Okta เป็นบริษัทชั้นนำที่ให้บริการโซลูชันด้านระบุตัวตน (identity) มีลูกค้ารายใหญ่มากมาย ประเด็นก็คือเมื่อช่วง 20 มกราคมที่ผ่านมา มีความพยายามเข้าถึง Okta จากบัญชีของพนักงานบริษัท Sitel ซึ่ง ณ เวลานั้น Okta ตรวจจับได้และแจ้งให้ Sitel ทราบ โดย Sitel ก็คือบริษัทที่ทำงานเรื่องดูแลลูกค้า ในเวลาต่อมาพอจะจับความได้ว่าบัญชีของพนักงาน Sitel ถูกแทรกแซงเข้าให้แล้ว ทำให้ Sitel ต้องจ้างผู้เชี่ยวชาญจาก Madiant เข้ามาช่วยดู จนได้ข้อสรุปวันที่ 28 กุมภาพันธ์ รายงานสู่มือ Sitel 10 มีนาคม และ 17 มีนาคมถึงมือ Okta แต่เพียงไม่กี่วันถัดมา 22 มีนาคม แฮ็กเกอร์ Lapsus$ ก็ได้โพสต์โชว์รูปหน้าจอของเครื่องที่ตนเข้าถึงได้ และดูเหมือนจะช้าไปมาก เพราะ Okta เสียชื่อไปก่อนแล้วจนออกมายอมรับ รวมถึงเขียนแสดงความสำนึกผิดว่าตนน่าจะเค้นข้อมูลจาก Sitel ให้มากกว่านี้ ไม่น่าประมาทละเลยไป

เนื้อหาต่อไปในส่วนนี้สำนักข่าว TechCrunch อ้างว่าตนได้รับข้อมูลวงในเกี่ยวกับรายงานของ incident เดียวกับที่ Okta ได้รับ ซึ่งมีการเปิดเผยไทม์ไลน์ของเหตุการณ์โจมตีดังนี้

  • Sitel พบว่า VPN Gateway ของตนจาก Sykes ถูกโจมตี
  • แฮ็กเกอร์ใช้การเข้าถึงแบบรีโมตและใช้เครื่องมือแฮ็กเพื่อแทรกแซงและสำรวจเครือข่ายของ Sitel อยู่กว่า 5 วัน
  • Sitel คาดว่า Azure Cloud ของตนก็ไม่รอดจากการโจมตี
  • วันที่  21 มกราคม แฮ็กเกอร์สามารถเข้าถึงไฟล์ที่ชื่อ ‘DomAdmins-LastPass.xlsx’ ซึ่งภายในบรรจุข้อมูลรหัสผ่านของบัญชีโดเมนที่ Export มาจาก LastPass Password manager
  • ห้าชั่วโมงถัดมาแฮ็กเกอร์เข้าไปสร้างบัญชีตนเองบน VPN ภายใต้กลุ่ม tenant administrator หากถูกพบและถูกดีดออกจะได้กลับเข้ามาใหม่ได้
  • หลังจากเข้าถึงไฟล์ Spreadsheet กว่า 14 ชั่วโมง Sitel ได้รีเซ็ตรหัสผ่านภายในบริษัทและตัดการเชื่อมต่อของคนร้ายออกไป

และนี่คือเหตุการณ์ทั้งหมดที่ Okta ต้องเผชิญกับความผิดพลาดที่ตนไม่ได้ตามเรื่องต่ออย่างจริงจัง ซึ่งสะท้อนให้เห็นว่าการโจมตี Supply Chain นั้นซับซ้อนและละเอียดอ่อนมาเพียงไร

ที่มา : https://techcrunch.com/2022/03/28/lapsus-passwords-okta-breach/ และ https://www.zdnet.com/article/okta-we-made-a-mistake-over-lapsus-breach-notification/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สิริซอฟต์ คว้ารางวัลระดับอาเซียน “Top Systems Integration Partner” ในงาน 2025 Elastic ASEAN Partner Awards [PR]

สิริซอฟต์ (Sirisoft) ผู้ให้คำปรึกษาและบริการโซลูชันเทคโนโลยีชั้นนำของประเทศไทยที่เชี่ยวชาญด้านการเพิ่มประสิทธิภาพโครงสร้างพื้นฐาน (Infrastructure Optimization) ความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) และการเปลี่ยนแปลงดิจิทัล (Digital Transformation) ตอกย้ำความเป็นผู้นำด้านที่ปรึกษาไอทีที่ครบวงจรของไทย คว้ารางวัลระดับอาเซียน “Top Systems Integration Partner” ในงาน 2025 Elastic ASEAN Partner Awards

AWS Security Incident Response พร้อมสนับสนุนการเชื่อมต่อกับ AWS Private Link แล้ว

AWS ได้ประกาศการเชื่อมโยง AWS Security Incident Response กับ AWS PrivateLink ได้แล้ว ทำให้ผู้ใช้งานสามารถปรับปรุงกระบวนการตอบสนองต่อเหตุการณ์ ให้สามารถรักษาข้อมูล Traffic ทั้งหมดไว้อยู่ภายใน Private …