Okta schwerer von Hack betroffen als angenommen

29. März 2022, 15:27
  • security
  • lapsus
  • cyberangriff
  • okta
  • international
image
David Bradbury, Chief Security Officer bei Okta. Foto: Okta

Der Autorisierungsdienst hat einen Cyberangriff eingestanden, dabei aber heruntergespielt, dass Kundendaten abhandengekommen sind. Nun gesteht Okta Fehler ein.

Vor einer Woche erklärte das in San Francisco ansässige Sicherheitsunternehmen Okta, dass es – respektive das Drittunternehmen Sitel – bereits im Januar 2022 von einem Hackerangriff betroffen war. In einer Mitteilung erklärte David Bradbury, Chief Security Officer bei Okta, damals, dass der Dienst nicht beeinträchtigt wurde. Auch der CEO der Firma sagte gegenüber 'Bleepingcomputer': "Basierend auf unseren bisherigen Untersuchungen gibt es keine Hinweise auf anhaltende bösartige Aktivitäten, die über die im Januar entdeckten Aktivitäten hinausgehen."
Nun lässt ein Screenshot der Hackerbande Lapsus$ Zweifel an den Aussagen von Okta aufkommen. Wie 'Techcrunch' berichtet, ist auf einer dieser Bildschirmaufnahmen zu sehen, dass die Hackerbande die Passwörter von Kunden über das Admin-Panel von Okta ändern konnte. Gemäss dem amerikanischen IT-Magazin befürchten Sicherheitsforscher nun, dass die Hacker diesen Superuser-Zugang genutzt haben könnten, um in die Server von Kunden einzudringen.

Speziell Kunden im Visier

Lapsus$ bekräftigte die Theorie noch, indem sie auf ihrem Telegram-Kanal verlauten liessen, sie hätten den Sicherheitsdienstleister nicht angegriffen, um die Datenbanken des Unternehmens zu stehlen, sondern um dessen Kunden ins Visier zu nehmen. Okta wird von Tausenden von Unternehmen und Regierungen weltweit als Single-Sign-On-Anbieter genutzt, der den Mitarbeitern einen sicheren Zugang zu den internen Systemen eines Unternehmens ermöglicht.
Gemäss Dokumenten, die dem unabhängigen Sicherheitsforscher Bill Demirkapi vorliegen und von 'Techcrunch' eingesehen wurden, haben sich die Cyberkriminellen fast eine ganze Woche lang unbemerkt in den Netzwerken bewegen können. Unter anderem sollen sie dabei auch eine Datei mit dem Namen "DomAdmins-LastPass.xlsx" erbeutet haben. Der Dateiname könnte darauf hindeuten, dass die Tabelle Passwörter für Administratorenkonten enthält, die aus einem Passwortmanager des betroffenen Sitel-Mitarbeiters exportiert worden waren.

Gibt es eine Hintertür?

Entdeckt wurde die Hackerbande erst, als sie ein neues Benutzerkonto anlegen wollte. Dazu wurde das Konto auch einer Benutzergruppe mit dem Namen Tenant-Administratoren hinzugefügt, die umfassende Zugriffe auf das Unternehmen hat. Es wird vermutet, dass sie so eine Hintertür einbauen wollten, für den Fall, dass sie später entdeckt und ausgesperrt würden.
Aus der Zeitleiste im Untersuchungsbericht von Sitel geht hervor, dass die Hacker am 21. Januar 2022 zum letzten Mal auf das Netzwerk von Sitel zugegriffen haben, also etwa 14 Stunden nachdem der Zugriff auf die Tabelle mit den Passwörtern erfolgt ist. Als Reaktion auf den Angriff setzte Sitel daraufhin unternehmensweit alle Passwörter zurück, um die Angreifer auszusperren.

Kritik an der Kommunikation

Okta wurde insbesondere dafür kritisiert, dass es seine Kunden nicht unmittelbar nach dem Erhalt des Abschlussberichts vom 17. März vor dem Vorfall gewarnt hat. Und auch CSO David Bradbury gesteht ein, dass das Unternehmen schneller hätte handeln müssen, um die Auswirkungen einzudämmen.
Der Benutzerauthentifizierungsdienst ist dabei nur eines von mehreren namhaften Unternehmen, die in den letzten Monaten von der Hacker- und Erpressergruppe Lapsus$ ins Visier genommen wurden. Die südamerikanische Gruppierung tauchte erstmals im Dezember 2021 auf und hat seither schon mehrere Tech-Giganten wie Samsung, Nvidia oder Microsoft angegriffen.
Auf ihrem Telegram-Kanal veröffentlichen die Kriminellen regelmässig Zugänge zu gestohlenen Daten, veranstalten Umfragen über die nächsten Ziele oder stellen abstruse Forderungen an betroffene Unternehmen. Ende letzter Woche gab die britische Polizei bekannt, dass sie sieben Personen im Alter zwischen 16 und 21 Jahren verhaftet hat, die verdächtigt werden, im Zusammenhang mit Lapsus$ zu stehen.

Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Jetzt hat ein grosser Krypto-Hack Harmony getroffen

Hacker haben Coins im Wert von rund 100 Millionen Dollar aus einem Schlüsselprodukt der US-Kryptofirma gestohlen.

publiziert am 24.6.2022
image

NCSC mahnt: Bitte keine Privatgeräte im Homeoffice

Der Zugriff aufs Firmennetzwerk mit privaten Geräten ist mit erheblichen Risiken verbunden. Das zeigt ein aktueller Ransomware-Angriff.

publiziert am 24.6.2022 6
image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022