Okta, ein Authentifizierungsunternehmen, das von Tausenden von Organisationen auf der ganzen Welt genutzt wird, hat nun bestätigt, dass der Laptop eines seiner Mitarbeiter im Januar 2022 gehackt wurde und ein Angreifer fünf Tage lang Zugriff darauf hatte – behauptet jedoch, dass sein Dienst „nicht verletzt wurde und bleibt voll funktionsfähig.“
Die Offenlegung erfolgt, als die Hackergruppe Lapsus $ Screenshots auf ihrem Telegram-Kanal veröffentlichte, die behaupteten, interne Okta-Systeme zu sein, darunter einer, der Oktas Slack-Kanäle zu zeigen scheint, und ein anderer mit einer Cloudflare-Schnittstelle.
Jedes Hacken von Okta könnte schwerwiegende Folgen für Unternehmen, Universitäten und Regierungsbehörden haben, die sich auf Okta verlassen, um den Benutzerzugriff auf interne Systeme zu authentifizieren.
Mais in einer Pressemitteilung am DienstagnachmittagOkta sagt jetzt, dass ein Angreifer während dieser fünf Tage nur begrenzten Zugriff gehabt hätte – begrenzt genug, dass das Unternehmen behauptet, „unsere Kunden müssen keine Korrekturmaßnahmen ergreifen“.
Hier ist, was der Sicherheitsdirektor von Okta, David Bradbury, darüber sagt, wer auf dem Spiel steht und wer nicht, wenn einer seiner Support-Techniker kompromittiert wird:
Die potenziellen Auswirkungen auf Okta-Kunden sind auf den Zugang für Supporttechniker beschränkt. Diese Techniker können keine Benutzer erstellen oder löschen oder Kundendatenbanken herunterladen. Supporttechniker haben Zugriff auf begrenzte Daten – zum Beispiel Jira-Probleme und Benutzerlisten – die in Screenshots zu sehen sind. Supporttechniker sind auch in der Lage, das Zurücksetzen von Passwörtern zu erleichtern und MFA Faktoren für Benutzer, sind aber nicht in der Lage, diese Passwörter zu erhalten.
Die Hacking-Gruppe Lapsus$ schreibt auf ihrem Telegram-Kanal, dass sie zwei Monate lang „Superuser/Administrator“-Zugriff auf die Systeme von Okta hatte, nicht nur fünf Tage, und schlug vor, diesen Zugriff zu nutzen, um sich auf Okta-Kunden zu konzentrieren. Das Wall Street Journal Bemerkungen dass Okta in einer kürzlich eingereichten Anmeldung sagte, dass es weltweit über 15.000 Kunden hat. Als Kunden sind unter anderem Peloton, Sonos, T-Mobile und die FCC aufgeführt auf seiner Website.
In einer früheren Erklärung an gesendet Die Kante, sagte Okta-Sprecher Chris Hollis, das Unternehmen habe keine Beweise für einen anhaltenden Angriff gefunden. „Ende Januar 2022 entdeckte Okta eine versuchte Kompromittierung des Kontos eines externen Kundendiensttechnikers, der für einen unserer Auftragnehmer arbeitet. Die Angelegenheit wurde untersucht und unter Kontrolle gebracht. Der Auftragnehmer sagte Hollis: „Wir glauben, dass die Screenshots online geteilt wurden beziehen sich auf dieses Januar-Ereignis.“
„Basierend auf unserer bisherigen Untersuchung gibt es keine Hinweise auf anhaltende böswillige Aktivitäten, die über die im Januar festgestellten Aktivitäten hinausgehen“, fuhr Hollis fort. Schreiben jedoch in ihrem Telegrammkanal, Vorgeschlagener Beleg $ dass er für ein paar Monate Zugang hatte.
Dies ist unser dritter Versuch, das fünfte bis achte Foto zu teilen. LAPSUS$ hat viele vertrauliche Informationen und/oder Benutzerinformationen angezeigt, so viele, dass uns am Ende die Zeit ausgeht, um einige davon zu zensieren.
Fotos 5 – 8 unten angehängt. pic.twitter.com/KGlI3TlCqT
— vx-underground (@vxunderground) 22. März 2022
Lapsus$ ist eine Hacking-Gruppe, die die Verantwortung für eine Reihe hochkarätiger Vorfälle übernommen hat, die Nvidia, Samsung, Microsoftund Ubisoft, die in einigen Fällen Hunderte von Gigabyte an vertraulichen Daten stehlen.
Okta sagt, dass es die Okta-Sitzungen seines Support-Ingenieurs beendet und das Konto im Januar gesperrt hat, aber sagt, dass es erst diese Woche den Abschlussbericht von seiner Forensikfirma erhalten hat.
Update, 14:38 Uhr ET: Oktas Aussage und Behauptungen hinzugefügt, dass der Hack sehr begrenzt war und keine Abhilfemaßnahmen ergriffen werden mussten.