No início de março de 2022, a empresa de segurança de autenticação Okta relatou uma tentativa em janeiro de comprometimento de uma conta de suporte ao cliente administrada pela SITEL, alegando que o incidente havia sido investigado e contido. David Bradbury, CSO da Okta, admitiu mais tarde que até 366 clientes podem ter sido comprometidos no ataque, pedindo desculpas por não informar os clientes anteriormente.
Esse comprometimento é obra do grupo de hackers de computador Lapsus$, que ganhou notoriedade através de um frenesi de ataques cibernéticos em quatro meses, vazando dados de empresas de tecnologia de alto escalão como Nvidia, Samsung, Ubisoft e até mesmo Microsoft.
Nenhum dos bilhões de dólares gastos até agora em cibersegurança impede os métodos “de baixa tecnologia” de roubo de acesso usado pela Lapsus$: engenharia social, phishing de senhas ou simplesmente pagar funcionários por suas informações de acesso, a fim de redefinir senhas e autenticação multifatorial (MFA).
O que é ainda mais preocupante é a facilidade e a profundidade de penetração de um único incidente; o grupo afirma ter tido acesso a 95% dos 15.000 clientes da Okta. Em sua investigação, a Mandiant informou que o grupo acessou um arquivo na rede interna do Sitel chamado “DomAdmins-LastPass.xlsx”, sugerindo uma lista de senhas de conta de administrador de domínio exportadas do gerenciador de senhas do LastPass.
Para Julia O’Toole, fundadora e CEO da MyCena Security Solutions, o ataque expõe a imaturidade dos modelos de controle de acesso e resiliência cibernética das empresas. “Ao dar aos funcionários o direito de criar e conhecer suas senhas no trabalho, as empresas involuntariamente confiaram sua segurança cibernética a seus funcionários e se expuseram a erros humanos, roubo potencial e fraude interna. Os criminosos não precisam hackear, eles simplesmente fazem login, sabendo que nove em cada dez violações usando uma senha legítima”, diz O’Toole.
O uso comum de acesso único (SSO, IAM, PAM) agrava o impacto de qualquer violação, facilitando a mudança de uma empresa para outra em um ataque da cadeia de suprimentos, como demonstrado pela Lapsus$ que se desloca de Sitel para Okta para clientes do Okta em questão de horas. Uma vez dentro de uma rede de host, os criminosos podem digitalizar e exfiltrar os dados mais valiosos, destruir backups e implantar ransomware. Esse modelo de fluxo de acesso “livre de barreiras” priva as empresas de resiliência cibernética.
O’Toole acredita que essa cultura de transferir a gestão de riscos de acesso dos funcionários e centralizar o acesso em um único ponto deve ser reconhecida como extremamente perigosa à segurança e proibida e ressalta que com tantas infiltrações ainda a serem descobertas, não é possível nem saber se está em perigo até que seja tarde demais, o acesso pode já ter sido comprometido por outra pessoa que também não sabe que foi comprometida.
“No mundo físico, as empresas fornecem chaves, crachás e cartões aos funcionários para acessar instalações físicas e recolhem de volta quando os funcionários saem da empresa. No mundo digital, contra todo o bom senso, esse processo foi invertido, com os colaboradores efetivamente trazendo suas próprias “chaves” (senhas) para acessar as instalações digitais da empresa. Essa perda auto-infligida de controle de acesso privou as empresas de cibersegurança, privacidade e o controle de dados básico”, finaliza O’Toole.
