Les récentes affirmations du gang de cyber-extorsion ont été validées par Okta et Microsoft : Lapsus$ a réussi à mettre la main sur une partie du code source de Microsoft et a eu accès à l’ordinateur portable d’un ingénieur de support travaillant pour un sous-traitant tiers pour Okta, leur permettant d’avoir un impact potentiel sur environ 2,5 % des clients de l’entreprise.
Après que le gang a publié des captures d’écran des systèmes internes d’Okta et a déclaré qu’il concentrait son incursion sur les clients d’Okta, le PDG de l’entreprise a d’abord déclaré que, fin janvier 2022, ils avaient détecté une tentative de compromission du compte d’un ingénieur du support client travaillant pour l’un de leurs sous-traitants, et qu' »il n’y a aucune preuve d’activité malveillante en cours au-delà de l’activité détectée en janvier ».
Plus tard dans la journée, David Bradbury, directeur de la sécurité d’Okta, a déclaré pour la première fois qu' »il y avait une fenêtre de temps de cinq jours entre le 16 et le 21 janvier 2022, où un attaquant avait accès à l’ordinateur portable d’un ingénieur de support », que « l’impact potentiel aux clients d’Okta est limité à l’accès dont disposent les ingénieurs de support », et enfin, qu’« un petit pourcentage de clients – environ 2,5 % – a potentiellement été impacté et dont les données peuvent avoir été consultées ou traitées ».
Okta ne les a pas nommés et n’a pas précisé quelles données des clients ont pu être consultées.
Microsoft suit Lapsus$ en tant que DEV-0537 et a confirmé que le gang n’utilise pas de rançongiciel – pour eux, tout est question d’extorsion et de destruction.
Les attaquants n’ont pas pu accéder au code ou aux données du client, mais ont eu accès au propre code source de l’entreprise – quelque chose que Microsoft ne considère pas comme un gros problème, car il « ne s’appuie pas sur le secret du code comme mesure de sécurité . »