Okta遭黑客入侵的事件揭露了科技巨头的巨大安全漏洞
文/Thomas Brewster
在哥斯达黎加晴朗的天空下 ， 其首都圣何塞（San Jos%uE9）西北部有一处色彩柔和的办公室 ， 员工们正在自己的小隔间里忙着接听电话 ， 为客户提供技术支持 。 他们为一家名为赛科斯（Sykes）的外包公司工作 。 大多数人从来没有听说过这家公司 ， 尽管它现在是全球最大的呼叫中心提供商之一Sitel Group的一部分 。 根据LinkedIn的资料显示 ， 赛科斯的员工曾为亚马逊和思科这样的知名公司做过外包工作 。
如果你是一名赛科斯公司的客户支持员工 ， 那么你就需要访问这家外包公司那些大牌客户的数据 。 事实证明 ， 这种访问方式对黑客非常有吸引力 。 于是 ， 在今年1月 ， 当一名该公司的员工正在为Okta的用户提供客户服务时 ， 一个名为Lapsus$的神秘黑客组织成功掌握了这个位于哥斯达黎加的赛科斯员工的账户 ， 而Okta是“单点登录”软件最大的供应商之一 ， 该软件可以让客户在许多应用程序中使用一个密码 ， 只需要一次性密码就能进入账户 。 按道理来说 ， 这个平台本应该提供更严格的安全措施 ， 但正如发生在赛科斯公司的黑客入侵事件所显示的那样 ， 网络犯罪分子有办法在不直接针对Okta的情况下获取Okta客户的数据 。 通过赛科斯的泄露账户 ， 黑客成功窥探了Okta旗下2.5%的客户信息 ， 其中似乎包括价值300亿美元的网络安全提供商Cloudflare和365家其他客户 。 在此过程中 ， 黑客还能够重置密码并获取客户信息 。
【Okta遭黑客入侵的事件揭露了科技巨头的巨大安全漏洞】赛科斯向福布斯证实 ， 它的“部分”网络在1月份遭到了黑客攻击 ， 但声称它不认为这引发了任何严重的漏洞 ， 且本次攻击对其企业客户（或其客户的客户）不再构成风险 。 Okta后来表示 ， 这次入侵持续了五天 ， 黑客得以在期间重置密码和那些一次性密码 。
在被问及是否还有其他客户在1月份的赛科斯事件中受到攻击时 ， Sitel集团的一名发言人表示 ， “我们无法就我们与任何特定品牌的关系或我们为客户提供的服务的性质发表评论 。 ”
Okta首席安全官David Bradbury在周三的一次网络研讨会上说 ， 他们周一才收到Sitel的完整取证报告 ， 但他们最初在1月份就收到了可能存在漏洞的警告 。 不过 ， 他承认 ， Okta上周收到了一份关于黑客攻击的总结报告 ， 该公司本应更快地对这些初步发现采取行动 。 报告显示 ， 一名黑客通过所谓的远程桌面协议（RDP）获得了访问Sitel技术人员计算机的权限 ， 而该协议提供远程访问系统的权限 。
这次黑客攻击表明 ， 外包技术支持对任何公司及其客户的数据来说都是一种风险 。 虽然公司可以将员工的职能外包 ， 但它不能将承包商出现问题时的风险和声誉损害外包出去 。 而这也正是Lapsus$的黑客成员一直在认真利用的一个因素 ， 因为他们经常要求受害者支付费用 ， 以阻止数据泄漏 。
网络调查部门221B的首席研究官Allison Nixon说 ， 网络罪犯长期以来一直把目标锁定在那些“掌握着王国钥匙”的低收入技术支持人员 。
Nixon说 ， 在关注Okta的过程中 ， Lapsus$成功地从赛科斯最初的漏洞中误导了所有人 。 “这有点像变魔术 。 所有的目光都被Okta吸引了 ， 但魔术师就在你面前做了一些更有趣的事情……那就是像Lapsus$这样瞄准Sitel和第三方呼叫中心 。 ”她说 ， 黑客这样做是为了避免暴露他们打算攻击呼叫中心的真实计划 。
然而 ， 正是通过利用这个漏洞 ， Lapsus$能够黑入顶级公司 ， 并获得足以令高级政府黑客组织“垂涎欲滴”的访问级别 。