在哥斯達黎加晴朗的天空下，其首都圣何塞（San José）西北部有一處色彩柔和的辦公室，員工們正在自己的小隔間里忙著接聽電話，為客戶提供技術支持。他們為一家名為賽科斯（Sykes）的外包公司工作。大多數人從來沒有聽說過這家公司，盡管它現在是全球最大的呼叫中心提供商之一Sitel Group的一部分。根據LinkedIn的資料顯示，賽科斯的員工曾為亞馬遜和思科這樣的知名公司做過外包工作。

如果你是一名賽科斯公司的客戶支持員工，那么你就需要訪問這家外包公司那些大牌客戶的數據。事實證明，這種訪問方式對黑客非常有吸引力。于是，在今年1月，當一名該公司的員工正在為Okta的用戶提供客戶服務時，一個名為Lapsus$的神秘黑客組織成功掌握了這個位于哥斯達黎加的賽科斯員工的賬戶，而Okta是“單點登錄”軟件最大的供應商之一，該軟件可以讓客戶在許多應用程序中使用一個密碼，只需要一次性密碼就能進入賬戶。按道理來說，這個平臺本應該提供更嚴格的安全措施，但正如發生在賽科斯公司的黑客入侵事件所顯示的那樣，網絡犯罪分子有辦法在不直接針對Okta的情況下獲取Okta客戶的數據。通過賽科斯的泄露賬戶，黑客成功窺探了Okta旗下2.5%的客戶信息，其中似乎包括價值300億美元的網絡安全提供商Cloudflare和365家其他客戶。在此過程中，黑客還能夠重置密碼并獲取客戶信息。

賽科斯向福布斯證實，它的“部分”網絡在1月份遭到了黑客攻擊，但聲稱它不認為這引發了任何嚴重的漏洞，且本次攻擊對其企業客戶（或其客戶的客戶）不再構成風險。Okta后來表示，這次入侵持續了五天，黑客得以在期間重置密碼和那些一次性密碼。

在被問及是否還有其他客戶在1月份的賽科斯事件中受到攻擊時，Sitel集團的一名發言人表示，“我們無法就我們與任何特定品牌的關系或我們為客戶提供的服務的性質發表評論?！?/p>

Okta首席安全官David Bradbury在周三的一次網絡研討會上說，他們周一才收到Sitel的完整取證報告，但他們最初在1月份就收到了可能存在漏洞的警告。不過，他承認，Okta上周收到了一份關于黑客攻擊的總結報告，該公司本應更快地對這些初步發現采取行動。報告顯示，一名黑客通過所謂的遠程桌面協議（RDP）獲得了訪問Sitel技術人員計算機的權限，而該協議提供遠程訪問系統的權限。

這次黑客攻擊表明，外包技術支持對任何公司及其客戶的數據來說都是一種風險。雖然公司可以將員工的職能外包，但它不能將承包商出現問題時的風險和聲譽損害外包出去。而這也正是Lapsus$的黑客成員一直在認真利用的一個因素，因為他們經常要求受害者支付費用，以阻止數據泄漏。

網絡調查部門221B的首席研究官Allison Nixon說，網絡罪犯長期以來一直把目標鎖定在那些“掌握著王國鑰匙”的低收入技術支持人員。

Nixon說，在關注Okta的過程中，Lapsus$成功地從賽科斯最初的漏洞中誤導了所有人?！斑@有點像變魔術。所有的目光都被Okta吸引了，但魔術師就在你面前做了一些更有趣的事情……那就是像Lapsus$這樣瞄準Sitel和第三方呼叫中心?！彼f，黑客這樣做是為了避免暴露他們打算攻擊呼叫中心的真實計劃。

然而，正是通過利用這個漏洞，Lapsus$能夠黑入頂級公司，并獲得足以令高級政府黑客組織“垂涎欲滴”的訪問級別。

大型科技公司也知道這一點。Lapsus$組織此前曾聲稱自己從微軟、三星、英偉達和其他大型科技公司都竊取過數據。周二，微軟證實自己是Lapsus$攻擊的受害者，在那次攻擊中，微軟的一個公司賬戶被黑客入侵，并被用來竊取公司的源代碼。就在幾天前，Lapsus$還聲稱盜取了一些Bing, Bing Maps和Cortana的源代碼。微軟沒有透露其泄露的賬戶是屬于內部員工還是外包員工，但在周二的一篇分析Lapsus$黑客活動的博客文章中，微軟表示，它“發現了該組織通過招募員工（或其供應商或商業伙伴的員工）成功進入目標組織的實例?！彼赋?，在一個廣告中，Lapsus$提出購買公司密碼。微軟還指出了Lapsus$通過從犯罪論壇購買的密碼和竊取登錄信息的惡意軟件入侵組織的其他途徑，但并沒有回應關于最初入侵是如何發生的置評請求。

網絡安全公司Strike的首席研究官Cesar Cerrudo說，許多公司往往沒有做足夠的盡職調查來檢查第三方供應商的安全。Cerrudo說：“有時候你只是被要求在一個復選框上簽名，以表示你（合法）遵守規定，以及你會做安全和滲透測試等。但那實際上也只是合同表格上的一個復選框而已?！?/p>

安全公司Rapid7的首席科學家Raj Samani表示，Okta和賽科斯的黑客入侵應該為企業敲響一個警鐘，提醒他們對誰可以訪問他們網絡上的內容進行檢查梳理。他說：“我們必須讓各個公司開始考慮，他們要做什么來跟蹤我們的事件響應工作流程，以及要做什么來分析我們的Slack渠道?！彼f，企業對此應該采用“零信任”的模式，因為這直接關系到檢查小組電話中每個人的身份，而那里可能存在一個假冒者。