Mirosoft y Okta confirman que fueron hackeadas por Lapsus$

Apenas unas horas después de que el grupo de hackers Lapsus$ publicase diversas pruebas de que Microsoft y la plataforma de autenticación Okta habían sido atacadas, y tras sendas investigaciones internas, las dos compañías han confirmado que han sido víctimas de un hackeo. La primera lo ha hecho, tal como apuntan desde Muycomputer, después de que el grupo de atacantes publicase además un archivo de casi 37 GB que contiene una parte del código fuente de Bing y Cortana.

Según detallan en el blog de seguridad de Microsoft, el grupo, al que identifican como DEV-0537, consiguió acceso a una única cuenta y robó parte del código fuente de algunos de sus productos. Al parecer, los investigadores de Microsoft llevan siguiendo varias semanas al grupo, y apuntan que su objetivo es «conseguir acceso de alto nivel, a través de credenciales robadas, que permitan el robo de datos y ataques destructivos a una organización objetivo, que desembocan a menudo en una extorsión. Las tácticas y objetivos indican que se trata de un actor cibercriminal motivado por el robo y la destrucción«.

A pesar de estas conclusiones, desde Microsoft aseguran que la filtración de código sufrido no es lo bastante grave como para subir el nivel de riesgo, y además confirman que sus equipos de respuesta lograron detener a los hackers cuando estaban inmersos en el ataque y evitar que siguieran atacando. La compañía también asegura que ni código de clientes ni tampoco ningún dato de estos quedaron comprometidos.

En cuanto a Okta, además de confirmar el ataque, que tuvo lugar el pasado mes de enero, sus responsables han admitido que puede haber afectado a varios cientos de sus alrededor de 15.000 clientes, aproximadamente el 2,5% del total. Así lo confirma el Responsable de seguridad de la compañía, David Bradbury, pocas horas después de la publicación de varias capturas de pantalla relacionadas con una cuenta de la plataforma y con su canal de Slack.

Este ataque ha creado bastante alarma entre los clientes de Okta y expertos en seguridad, dada la popularidad del servicio en empresas y entidades de todo el mundo, y los accesos que un hacker podría conseguir si ataca Okta. Pero según Bradbury, el servicio de Okta como tal no ha quedado comprometido, y lo que hicieron en este caso los atacantes es conseguir acceso al portátil de un ingeniero que estaba prestado soporte técnico a la compañía.

Por tanto, según Bradbury, «el impacto potencial para los clientes de Okta se limita al acceso que tienen los ingenieros de soporte«. Además, recuerda que «los ingenieros de soporte son también capaces de facilitar el reseteo de las contraseñas y los sistemas de autenticación de varios factores, pero no pueden conseguir las contraseñas«.