เมื่อสัปดาห์ก่อน Okta ได้สารภาพว่าข้อมูลลูกค้ากว่า 2.5% ของตน ถูกแก๊งแฮ็กเกอร์ Lapsus$ เข้าถึงได้จริง ล่าสุดบริษัทได้ออกมาขอโทษที่ควรแจ้งลูกค้าให้ไวกว่านี้ โดยยังมีข้อมูลวงในอธิบายถึงเส้นทางการโจมตีบริษัท Supply Chain ต้นเรื่องว่าเกิดอะไรขึ้น

Okta เป็นบริษัทชั้นนำที่ให้บริการโซลูชันด้านระบุตัวตน (identity) มีลูกค้ารายใหญ่มากมาย ประเด็นก็คือเมื่อช่วง 20 มกราคมที่ผ่านมา มีความพยายามเข้าถึง Okta จากบัญชีของพนักงานบริษัท Sitel ซึ่ง ณ เวลานั้น Okta ตรวจจับได้และแจ้งให้ Sitel ทราบ โดย Sitel ก็คือบริษัทที่ทำงานเรื่องดูแลลูกค้า ในเวลาต่อมาพอจะจับความได้ว่าบัญชีของพนักงาน Sitel ถูกแทรกแซงเข้าให้แล้ว ทำให้ Sitel ต้องจ้างผู้เชี่ยวชาญจาก Madiant เข้ามาช่วยดู จนได้ข้อสรุปวันที่ 28 กุมภาพันธ์ รายงานสู่มือ Sitel 10 มีนาคม และ 17 มีนาคมถึงมือ Okta แต่เพียงไม่กี่วันถัดมา 22 มีนาคม แฮ็กเกอร์ Lapsus$ ก็ได้โพสต์โชว์รูปหน้าจอของเครื่องที่ตนเข้าถึงได้ และดูเหมือนจะช้าไปมาก เพราะ Okta เสียชื่อไปก่อนแล้วจนออกมายอมรับ รวมถึงเขียนแสดงความสำนึกผิดว่าตนน่าจะเค้นข้อมูลจาก Sitel ให้มากกว่านี้ ไม่น่าประมาทละเลยไป
เนื้อหาต่อไปในส่วนนี้สำนักข่าว TechCrunch อ้างว่าตนได้รับข้อมูลวงในเกี่ยวกับรายงานของ incident เดียวกับที่ Okta ได้รับ ซึ่งมีการเปิดเผยไทม์ไลน์ของเหตุการณ์โจมตีดังนี้
- Sitel พบว่า VPN Gateway ของตนจาก Sykes ถูกโจมตี
- แฮ็กเกอร์ใช้การเข้าถึงแบบรีโมตและใช้เครื่องมือแฮ็กเพื่อแทรกแซงและสำรวจเครือข่ายของ Sitel อยู่กว่า 5 วัน
- Sitel คาดว่า Azure Cloud ของตนก็ไม่รอดจากการโจมตี
- วันที่ 21 มกราคม แฮ็กเกอร์สามารถเข้าถึงไฟล์ที่ชื่อ ‘DomAdmins-LastPass.xlsx’ ซึ่งภายในบรรจุข้อมูลรหัสผ่านของบัญชีโดเมนที่ Export มาจาก LastPass Password manager
- ห้าชั่วโมงถัดมาแฮ็กเกอร์เข้าไปสร้างบัญชีตนเองบน VPN ภายใต้กลุ่ม tenant administrator หากถูกพบและถูกดีดออกจะได้กลับเข้ามาใหม่ได้
- หลังจากเข้าถึงไฟล์ Spreadsheet กว่า 14 ชั่วโมง Sitel ได้รีเซ็ตรหัสผ่านภายในบริษัทและตัดการเชื่อมต่อของคนร้ายออกไป
และนี่คือเหตุการณ์ทั้งหมดที่ Okta ต้องเผชิญกับความผิดพลาดที่ตนไม่ได้ตามเรื่องต่ออย่างจริงจัง ซึ่งสะท้อนให้เห็นว่าการโจมตี Supply Chain นั้นซับซ้อนและละเอียดอ่อนมาเพียงไร
ที่มา : https://techcrunch.com/2022/03/28/lapsus-passwords-okta-breach/ และ https://www.zdnet.com/article/okta-we-made-a-mistake-over-lapsus-breach-notification/