在哥斯达黎加晴朗的天空下，其首都圣何塞（San José）西北部有一处色彩柔和的办公室，员工们正在自己的小隔间里忙着接听电话，为客户提供技术支持。他们为一家名为赛科斯（Sykes）的外包公司工作。大多数人从来没有听说过这家公司，尽管它现在是全球最大的呼叫中心提供商之一Sitel Group的一部分。根据LinkedIn的资料显示，赛科斯的员工曾为亚马逊和思科这样的知名公司做过外包工作。

如果你是一名赛科斯公司的客户支持员工，那么你就需要访问这家外包公司那些大牌客户的数据。事实证明，这种访问方式对黑客非常有吸引力。于是，在今年1月，当一名该公司的员工正在为Okta的用户提供客户服务时，一个名为Lapsus$的神秘黑客组织成功掌握了这个位于哥斯达黎加的赛科斯员工的账户，而Okta是“单点登录”软件最大的供应商之一，该软件可以让客户在许多应用程序中使用一个密码，只需要一次性密码就能进入账户。按道理来说，这个平台本应该提供更严格的安全措施，但正如发生在赛科斯公司的黑客入侵事件所显示的那样，网络犯罪分子有办法在不直接针对Okta的情况下获取Okta客户的数据。通过赛科斯的泄露账户，黑客成功窥探了Okta旗下2.5%的客户信息，其中似乎包括价值300亿美元的网络安全提供商Cloudflare和365家其他客户。在此过程中，黑客还能够重置密码并获取客户信息。

赛科斯向福布斯证实，它的“部分”网络在1月份遭到了黑客攻击，但声称它不认为这引发了任何严重的漏洞，且本次攻击对其企业客户（或其客户的客户）不再构成风险。Okta后来表示，这次入侵持续了五天，黑客得以在期间重置密码和那些一次性密码。

在被问及是否还有其他客户在1月份的赛科斯事件中受到攻击时，Sitel集团的一名发言人表示，“我们无法就我们与任何特定品牌的关系或我们为客户提供的服务的性质发表评论。”

Okta首席安全官David Bradbury在周三的一次网络研讨会上说，他们周一才收到Sitel的完整取证报告，但他们最初在1月份就收到了可能存在漏洞的警告。不过，他承认，Okta上周收到了一份关于黑客攻击的总结报告，该公司本应更快地对这些初步发现采取行动。报告显示，一名黑客通过所谓的远程桌面协议（RDP）获得了访问Sitel技术人员计算机的权限，而该协议提供远程访问系统的权限。

这次黑客攻击表明，外包技术支持对任何公司及其客户的数据来说都是一种风险。虽然公司可以将员工的职能外包，但它不能将承包商出现问题时的风险和声誉损害外包出去。而这也正是Lapsus$的黑客成员一直在认真利用的一个因素，因为他们经常要求受害者支付费用，以阻止数据泄漏。

网络调查部门221B的首席研究官Allison Nixon说，网络罪犯长期以来一直把目标锁定在那些“掌握着王国钥匙”的低收入技术支持人员。

Nixon说，在关注Okta的过程中，Lapsus$成功地从赛科斯最初的漏洞中误导了所有人。“这有点像变魔术。所有的目光都被Okta吸引了，但魔术师就在你面前做了一些更有趣的事情……那就是像Lapsus$这样瞄准Sitel和第三方呼叫中心。”她说，黑客这样做是为了避免暴露他们打算攻击呼叫中心的真实计划。

然而，正是通过利用这个漏洞，Lapsus$能够黑入顶级公司，并获得足以令高级政府黑客组织“垂涎欲滴”的访问级别。

大型科技公司也知道这一点。Lapsus$组织此前曾声称自己从微软、三星、英伟达和其他大型科技公司都窃取过数据。周二，微软证实自己是Lapsus$攻击的受害者，在那次攻击中，微软的一个公司账户被黑客入侵，并被用来窃取公司的源代码。就在几天前，Lapsus$还声称盗取了一些Bing, Bing Maps和Cortana的源代码。微软没有透露其泄露的账户是属于内部员工还是外包员工，但在周二的一篇分析Lapsus$黑客活动的博客文章中，微软表示，它“发现了该组织通过招募员工（或其供应商或商业伙伴的员工）成功进入目标组织的实例。”它指出，在一个广告中，Lapsus$提出购买公司密码。微软还指出了Lapsus$通过从犯罪论坛购买的密码和窃取登录信息的恶意软件入侵组织的其他途径，但并没有回应关于最初入侵是如何发生的置评请求。

网络安全公司Strike的首席研究官Cesar Cerrudo说，许多公司往往没有做足够的尽职调查来检查第三方供应商的安全。Cerrudo说：“有时候你只是被要求在一个复选框上签名，以表示你（合法）遵守规定，以及你会做安全和渗透测试等。但那实际上也只是合同表格上的一个复选框而已。”

安全公司Rapid7的首席科学家Raj Samani表示，Okta和赛科斯的黑客入侵应该为企业敲响一个警钟，提醒他们对谁可以访问他们网络上的内容进行检查梳理。他说：“我们必须让各个公司开始考虑，他们要做什么来跟踪我们的事件响应工作流程，以及要做什么来分析我们的Slack渠道。”他说，企业对此应该采用“零信任”的模式，因为这直接关系到检查小组电话中每个人的身份，而那里可能存在一个假冒者。