Microsoft conferma che è stato violato da LAPSUS $:

AGGIORNAMENTO 23/03: A seguito del dumping di file da parte del gruppo di hacking LAPSUS $ presumibilmente raccolto dall’hacking di Microsoft, Microsoft ha ora confermato che è stato compromesso tramite un unico account.

Come parte di un post sul blog sulla sicurezza pubblicato ieri sera, Microsoft ha incluso una sezione intitolata “Azioni dell’attore che prendono di mira Microsoft” che spiega cosa è successo:

“Questa settimana, l’attore ha dichiarato pubblicamente di aver ottenuto l’accesso a Microsoft e di aver esfiltrato porzioni di codice sorgente. Nessun codice o dato del cliente è stato coinvolto nelle attività osservate. La nostra indagine ha rilevato che un singolo account era stato compromesso, garantendo un accesso limitato. I nostri team di risposta alla sicurezza informatica si sono rapidamente impegnati per rimediare all’account compromesso e prevenire ulteriori attività.

Microsoft non fa affidamento sulla segretezza del codice come misura di sicurezza e la visualizzazione del codice sorgente non comporta un aumento del rischio. Le tattiche DEV-0537 usate in questa intrusione riflettono le tattiche e le tecniche discusse in questo blog. Il nostro team stava già indagando sull’account compromesso sulla base dell’intelligence sulle minacce quando l’attore ha rivelato pubblicamente la propria intrusione. Questa divulgazione pubblica ha intensificato la nostra azione consentendo al nostro team di intervenire e interrompere l’attore durante l’operazione, limitando un impatto più ampio”.

Sebbene qualsiasi hack di successo sia una cattiva notizia per un’organizzazione, in questo caso sembra essere molto limitato e non ha alcun impatto sui clienti di Microsoft.

I consigli di Microsoft per aiutare a prevenire simili hack LAPSUS $ includono l’utilizzo dell’autenticazione a più fattori per tutti gli utenti in tutte le località, l’incoraggiamento di password complesse, l’utilizzo dell’autenticazione senza password se disponibile e l’aggiunta di una VPN come ulteriore livello di autenticazione.


Storia originale 22/3:
Il gruppo di criminali informatici che afferma di aver violato Microsoft ha iniziato a scaricare file presumibilmente presi dall’hacking.

Lunedì, la banda di LAPSUS $ ha iniziato a far circolare un archivio compresso da 10 GB che presumibilmente contiene dati interni sul motore di ricerca Bing di Microsoft e Bing Maps, insieme al codice sorgente del software di assistente vocale dell’azienda Cortana.

“Bing Map è un dump completo al 90%. Bing e Cortana circa il 45%”, ha affermato LAPSUS $ in un post nella chat room pubblica del gruppo.

Secondo BleepingComputer, l’archivio si espande a 37 GB una volta decompresso e contiene il codice sorgente di oltre 250 progetti che sembrano appartenere a Microsoft. Se reale, il dump del file rischia di esporre informazioni sensibili sull’azienda, inclusi dati sui dipendenti e certificati software, che i criminali informatici potrebbero sfruttare ulteriormente.

Microsoft non ha risposto immediatamente a una richiesta di commento. Finora, la società ha solo detto che sta indagando sul presunto hack. Tuttavia, la banda di LAPSUS $ afferma che il gruppo ha già perso l’accesso ai sistemi di Microsoft.

“L’accesso è morto mentre dormivo”, ha scritto uno dei membri nella chat pubblica del gruppo. «Sarebbe stata una discarica completa. Ma eravamo tutti stanchi”.

Consigliato dai nostri editori:

Il dump del file si verifica anche poiché LAPSUS $ potrebbe aver rivelato come ha violato Microsoft. Lunedì, il gruppo ha affermato di aver violato Okta, una società che gestisce sistemi di autenticazione per 15.000 marchi.

“Migliaia di aziende utilizzano Okta per proteggere e gestire le proprie identità”, ha affermato Checkpoint, società di sicurezza IT. “Attraverso le chiavi private recuperate all’interno di Okta, la banda informatica potrebbe avere accesso alle reti e alle applicazioni aziendali. Quindi, una violazione a Okta potrebbe portare a conseguenze potenzialmente disastrose. ”

Nella sua chat pubblica, LAPSUS $ ha affermato di non aver rubato alcun database da Okta, ma di aver preso di mira i clienti aziendali dell’azienda. Finora, Okta ha solo affermato di aver rilevato “un tentativo di compromettere l’account di un ingegnere dell’assistenza clienti di terze parti” che lavorava presso un “sub-processore” dell’azienda due mesi fa. Ma l’incidente è stato poi contenuto.

“Sulla base della nostra indagine fino ad oggi, non ci sono prove di attività dannose in corso oltre all’attività rilevata a gennaio”, ha affermato il responsabile della sicurezza di Okta.

Ti piace quello che stai leggendo?

Iscriversi per: Vigilanza di sicurezza: newsletter per le nostre migliori storie sulla privacy e sulla sicurezza inviate direttamente nella tua casella di posta.

Questa newsletter può contenere pubblicità, offerte o link di affiliazione. L’iscrizione a una newsletter indica il tuo consenso alle nostre Condizioni d’uso e Informativa sulla privacy. È possibile annullare l’iscrizione alle newsletter in qualsiasi momento.

Leave a Comment