Okta schwerer von Hack betroffen als angenommen

29. März 2022, 15:27
  • security
  • lapsus
  • cyberangriff
  • okta
  • international
image
David Bradbury, Chief Security Officer bei Okta. Foto: Okta

Der Autorisierungsdienst hat einen Cyberangriff eingestanden, dabei aber heruntergespielt, dass Kundendaten abhandengekommen sind. Nun gesteht Okta Fehler ein.

Vor einer Woche erklärte das in San Francisco ansässige Sicherheitsunternehmen Okta, dass es – respektive das Drittunternehmen Sitel – bereits im Januar 2022 von einem Hackerangriff betroffen war. In einer Mitteilung erklärte David Bradbury, Chief Security Officer bei Okta, damals, dass der Dienst nicht beeinträchtigt wurde. Auch der CEO der Firma sagte gegenüber 'Bleepingcomputer': "Basierend auf unseren bisherigen Untersuchungen gibt es keine Hinweise auf anhaltende bösartige Aktivitäten, die über die im Januar entdeckten Aktivitäten hinausgehen."
Nun lässt ein Screenshot der Hackerbande Lapsus$ Zweifel an den Aussagen von Okta aufkommen. Wie 'Techcrunch' berichtet, ist auf einer dieser Bildschirmaufnahmen zu sehen, dass die Hackerbande die Passwörter von Kunden über das Admin-Panel von Okta ändern konnte. Gemäss dem amerikanischen IT-Magazin befürchten Sicherheitsforscher nun, dass die Hacker diesen Superuser-Zugang genutzt haben könnten, um in die Server von Kunden einzudringen.

Speziell Kunden im Visier

Lapsus$ bekräftigte die Theorie noch, indem sie auf ihrem Telegram-Kanal verlauten liessen, sie hätten den Sicherheitsdienstleister nicht angegriffen, um die Datenbanken des Unternehmens zu stehlen, sondern um dessen Kunden ins Visier zu nehmen. Okta wird von Tausenden von Unternehmen und Regierungen weltweit als Single-Sign-On-Anbieter genutzt, der den Mitarbeitern einen sicheren Zugang zu den internen Systemen eines Unternehmens ermöglicht.
Gemäss Dokumenten, die dem unabhängigen Sicherheitsforscher Bill Demirkapi vorliegen und von 'Techcrunch' eingesehen wurden, haben sich die Cyberkriminellen fast eine ganze Woche lang unbemerkt in den Netzwerken bewegen können. Unter anderem sollen sie dabei auch eine Datei mit dem Namen "DomAdmins-LastPass.xlsx" erbeutet haben. Der Dateiname könnte darauf hindeuten, dass die Tabelle Passwörter für Administratorenkonten enthält, die aus einem Passwortmanager des betroffenen Sitel-Mitarbeiters exportiert worden waren.

Gibt es eine Hintertür?

Entdeckt wurde die Hackerbande erst, als sie ein neues Benutzerkonto anlegen wollte. Dazu wurde das Konto auch einer Benutzergruppe mit dem Namen Tenant-Administratoren hinzugefügt, die umfassende Zugriffe auf das Unternehmen hat. Es wird vermutet, dass sie so eine Hintertür einbauen wollten, für den Fall, dass sie später entdeckt und ausgesperrt würden.
Aus der Zeitleiste im Untersuchungsbericht von Sitel geht hervor, dass die Hacker am 21. Januar 2022 zum letzten Mal auf das Netzwerk von Sitel zugegriffen haben, also etwa 14 Stunden nachdem der Zugriff auf die Tabelle mit den Passwörtern erfolgt ist. Als Reaktion auf den Angriff setzte Sitel daraufhin unternehmensweit alle Passwörter zurück, um die Angreifer auszusperren.

Kritik an der Kommunikation

Okta wurde insbesondere dafür kritisiert, dass es seine Kunden nicht unmittelbar nach dem Erhalt des Abschlussberichts vom 17. März vor dem Vorfall gewarnt hat. Und auch CSO David Bradbury gesteht ein, dass das Unternehmen schneller hätte handeln müssen, um die Auswirkungen einzudämmen.
Der Benutzerauthentifizierungsdienst ist dabei nur eines von mehreren namhaften Unternehmen, die in den letzten Monaten von der Hacker- und Erpressergruppe Lapsus$ ins Visier genommen wurden. Die südamerikanische Gruppierung tauchte erstmals im Dezember 2021 auf und hat seither schon mehrere Tech-Giganten wie Samsung, Nvidia oder Microsoft angegriffen.
Auf ihrem Telegram-Kanal veröffentlichen die Kriminellen regelmässig Zugänge zu gestohlenen Daten, veranstalten Umfragen über die nächsten Ziele oder stellen abstruse Forderungen an betroffene Unternehmen. Ende letzter Woche gab die britische Polizei bekannt, dass sie sieben Personen im Alter zwischen 16 und 21 Jahren verhaftet hat, die verdächtigt werden, im Zusammenhang mit Lapsus$ zu stehen.

Loading

Mehr zum Thema

image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022
image

Beschluss für europaweit einheitliche E-ID gefasst

Die eIDAS-Verordnung der EU verpflichtet alle Mitgliedstaaten, eine einheitliche digitale Identität anzubieten. Europa scheint nicht aus den Fehlern der Schweiz gelernt zu haben.

publiziert am 7.12.2022 1
image

San Francisco: Vorerst doch keine Roboter zum Töten

In einer zweiten Abstimmung hat sich das kommunale Gremium doch noch gegen die Richtlinie entschieden.

publiziert am 7.12.2022
image

Microsoft will eine "Super-App" schaffen

Der Konzern will die chinesische App Wechat kopieren. Für den Vertrieb der Anwendung wird man allerdings weiterhin auf die Konkurrenz angewiesen sein.

publiziert am 7.12.2022