Okta bestätigt Datenklau durch Lapsus$

23. März 2022, 16:04
image
David Bradbury, Verantwortlich für die Security bei Okta. Foto: Okta

Unklar ist jedoch, wie viele Daten gestohlen wurden. Und auch Microsoft gibt zu, von der südamerikanischen Hackerbande angegriffen geworden zu sein.

Anfang Woche behauptete die südamerikanische Hackerbande Lapsus$ auf ihrem Telegram-Kanal, dass sie Kundendaten von Okta gestohlen habe. Gemäss eigenen Angaben hat sich die Gruppe Zugang zu einem Superuser-Account des in San Francisco ansässigen Unternehmens verschafft. Über diesen werden Benutzer­authentifizierungs­dienste für Tausende von Firmenkunden verwaltet. Zum Beweis lieferten die Kriminellen Screenshots, die die angeblich geklauten Daten zeigen sollen. Da viele Unternehmen Okta als Gatekeeper für ihre Cloud-Dienste nutzen, könnte ein solcher Angriff erhebliche Auswirkungen auf zahlreiche User haben.
Nur wenige Tage zuvor hat die umtriebige Hackerbande bereits Daten publik gemacht, die aus einem Hack bei Microsoft stammen sollen. Über 90% des Quellcodes für Bing und 45% des Codes für Bing Maps und die Sprachassistentin Cortana sollen sich in den erbeuteten Daten befinden. Der Softwareriese hat den Hack mittlerweile bestätigt. Im Bericht zum Vorfall werden die Aktivitäten von Lapsus$ als eine "gross angelegte Social-Engineering- und Erpressungs­kampagne" bezeichnet. Davor wurden mit Nvidia und Samsung zwei weitere Tech-Giganten Opfer der berüchtigten Hacker.

Nur wenige Okta-Kunden betroffen?

In einer Mitteilung erklärte David Bradbury, Chief Security Officer bei Okta zuerst: "Der Dienst wurde nicht beeinträchtigt." Bereits am 20. Januar 2022 seien Security-Mitarbeitende des Unternehmens darauf aufmerksam geworden, dass versucht worden sei, einen neuen MFA-Faktor dem Okta-Konto eines Sitel-Kundenbetreuers hinzuzufügen. Obwohl dieser Versuch erfolglos geblieben sei, sei das Konto aus Vorsicht gesperrt und Sitel benachrichtigt worden. Sitel teilte im Gegenzug mit, dass eine Untersuchung des Vorfalls mit der Unterstützung eines forensischen Unternehmens durchgeführt werde. Diese dauerte bis zum 28. Februar 2022 und deckte auf, dass der Dienst kompromittiert worden sei.
Die Resultate aus diesem forensischen Bericht hat Okta nach eigenen Abgaben allerdings erst am 20. März 2022 von Sitel erhalten. Im Zuge einer gründlichen Überprüfung von 125'000 Logins im betroffenen Zeitraum seien dann 366 Sicherheitsverstösse aufgedeckt worden. Die entsprechenden Kunden seien identifiziert und über den Vorfall informiert worden, so das Unternehmen. Bradbury führte weiter aus, dass während der Untersuchung "ein fünftägiges Zeitfenster zwischen dem 16. und 21. Januar 2022 identifiziert wurde, in dem ein Angreifer Zugriff auf den Laptop eines Supporttechnikers hatte".

Ausmass weiterhin unklar

Der Erklärung wurde auch hinzugefügt, dass die Angreifer während dieser fünf Tage einen Zugriff auf der Stufe eines Support-Technikers hatten. Im Gegensatz zu den Behauptungen von Lapsus$ soll dieser Zugang aber keine Möglichkeiten einschliessen, Benutzer zu erstellen oder zu löschen, Kundendatenbanken herunterzuladen oder auf bestehende Benutzerpasswörter zuzugreifen, oder gar den Zugriff auf Jira-Tickets, Benutzerlisten und die Möglichkeit, Passwörter und Multifaktor-Authentifizierungs-Tokens (MFA) zurückzusetzen. Letzteres sei der Hauptmechanismus, den die Lapsus$-Hacker wahrscheinlich missbraucht hätten, um mit Okta-Logins in Zielunternehmen einzudringen und deren Daten abzugreifen.
Lapsus$ seinerseits wies die Darstellungen von Okta zurück und behauptete auf seinem Telegram-Kanal auch weiterhin, man habe Zugriff auf einen Superuser-Account gehabt und somit auch die Möglichkeit, 95% aller Passwörter des Dienstes zurückzusetzen. Die neu bekannten Details zeichnen noch immer kein klares Bild des Vorfalls. Die widersprüchlichen Darstellungen des Sachverhalts dürften aber dafür sorgen, dass es für Okta-Kunden noch schwieriger wird, herauszufinden, inwiefern sie von einem allfälligen Datenleck betroffen wären.

Loading

Mehr zum Thema

image

Microsoft verschiebt eine Deadline für neue Cloud-Lizenzbedingungen

Trotzdem drängt der Softwareriese seine Cloud-Partner weiterhin dazu, Kunden möglichst schnell auf die "New Commerce Experience" umzustellen.

publiziert am 30.6.2022
image

Post lässt sich 24 Stunden lang von 150 Hackern angreifen

An einem Live-Bug-Bounty-Event wurden in den Diensten der Post 22 Schwachstellen aufgespürt. Eine davon gilt als kritisch und war dem Konzern 3000 Euro wert.

publiziert am 30.6.2022
image

Microsoft Schweiz hat Nachfolger für Channelchef Thomas Winter bestimmt

Andrew Reid übernimmt definitiv die 40-köpfige Abteilung für das Business mit den rund 4500 Partnern in der Schweiz. An der Organisation ändert sich nichts.

publiziert am 30.6.2022
image

VBS lanciert Cyber Startup Challenge 2022

Dieses Mal sollen Teilnehmer Lösungen zur automatisierten Netzwerkerkennung und Sicherung von Internet-of-Things-Geräten präsentieren.

publiziert am 30.6.2022