Hacker haben Zugangstokens aus der Support-Abteilung von Okta gestohlen

 (krebsonsecurity.com)
1 Punkte von GN⁺ 2023-10-22 | 1 Kommentare | Auf WhatsApp teilen
  • Das Unternehmen Okta, das Identitätswerkzeuge wie Multi-Faktor-Authentifizierung und Single Sign-On anbietet, war von einem Sicherheitsvorfall betroffen, der mit seiner Kundensupport-Abteilung zusammenhing.
  • Der Vorfall betraf zwar nur eine „sehr kleine Zahl“ von Kunden, doch Hacker konnten mindestens zwei Wochen lang auf Otkas Support-Plattform zugreifen, bevor der Einbruch vollständig unterbunden wurde.
  • Die Hacker griffen auf gestohlene Zugangsdaten zu und verschafften sich damit Zugang zu Otkas System zur Verwaltung von Support-Fällen. Dadurch konnten sie Dateien einsehen, die Okta-Kunden im Rahmen jüngerer Support-Fälle hochgeladen hatten.
  • Okta fordert Kunden zur Fehlerbehebung häufig auf, HTTP Archive (HAR)-Dateien bereitzustellen. Diese Dateien können sensible Informationen wie Cookies und Session-Tokens enthalten, die Hacker nutzen können, um sich als legitime Benutzer auszugeben.
  • Okta hat Maßnahmen zum Schutz der Kunden ergriffen, darunter das Widerrufen eingebetteter Session-Tokens, und empfiehlt, vor dem Teilen von HAR-Dateien sämtliche Zugangsdaten sowie Cookie-/Session-Tokens zu bereinigen.
  • Der Okta-Kunde BeyondTrust informierte Okta bereits zwei Wochen vor der offiziellen Bekanntmachung über ein mögliches Problem. BeyondTrust entdeckte einen Versuch, innerhalb seiner Okta-Umgebung ein Administratorkonto zu erstellen, wobei ein Okta-Konto verwendet wurde, das einem seiner Ingenieure zugewiesen war.
  • Okta ging zunächst nicht davon aus, dass die Warnung von BeyondTrust auf einen Einbruch in die eigenen Systeme zurückzuführen sei, erkannte und stoppte den Vorfall jedoch bis zum 17. Oktober.
  • Charlotte Wylie, stellvertretende Chief Information Security Officer von Okta, nannte keine genaue Zahl der Kunden, die wegen eines möglichen Sicherheitsproblems gewarnt wurden, bezeichnete sie jedoch als einen „sehr, sehr kleinen Teil“ von mehr als 18.000 Kunden.
  • Der Vorfall ereignete sich nach den jüngsten Hacks bei den Casinokonzernen Caesar’s Entertainment und MGM Resorts, bei denen Angreifer die Anforderungen an die Multi-Faktor-Anmeldung für Okta-Administratorkonten erfolgreich zurückgesetzt hatten.
  • Okta geht davon aus, dass hinter diesem Vorfall ein bekannter Bedrohungsakteur steckt, der Okta und seine Kunden bereits früher ins Visier genommen hat.
  • Okta hat einen Blogbeitrag zu dem Vorfall veröffentlicht, der auch „Indikatoren einer Kompromittierung“ enthält, mit denen Kunden prüfen können, ob sie betroffen waren. Das Unternehmen ist zuversichtlich, alle betroffenen Kunden benachrichtigt zu haben.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-10-22
Hacker-News-Kommentare
  • Das Cybersicherheitsunternehmen Okta wurde von BeyondTrust über verdächtige Aktivitäten informiert, konnte zunächst jedoch keine Hinweise auf einen Eindringversuch finden.
  • Okta bestätigte und stoppte den Eindringversuch erst nach den wiederholten Hinweisen von BeyondTrust.
  • In Oktas Blogbeitrag zu dem Vorfall wurde die Benachrichtigung durch Dritte nicht erwähnt, was Bedenken hinsichtlich der Transparenz aufwarf.
  • Charlotte Wylie, stellvertretende Chief Information Security Officer bei Okta, bestätigte, dass das Unternehmen die Warnung von BeyondTrust zunächst ignoriert, den Eindringversuch später jedoch bestätigt habe.
  • Es wurde kritisiert, dass sich das Eingeständnis und die Reaktion auf den Vorfall verzögerten, insbesondere angesichts von Oktas Rolle als Experte für Cybersicherheit und Authentifizierung.
  • Einige Kommentare schlagen vor, wichtige Gatekeeper wie SSO, OAuth, SAML und 2FA On-Premises zu betreiben, statt sich auf SaaS-Lösungen wie Okta zu verlassen.
  • Es gibt die allgemeine Erwartung, dass Identitätsanbieter, Passwortmanager und VPN-Unternehmen aufgrund ihrer Sicherheitsrolle niemals gehackt werden dürften.
  • Einige Nutzer äußern Bedenken über Oktas Entscheidung, Support-Mitarbeiter auszulagern, und verweisen auf die daraus entstehenden potenziellen Sicherheitsrisiken.
  • Die Meinungen zur Übernahme des Konkurrenten Auth0 durch Okta sind geteilt; einige Nutzer äußern Bedenken über die Zentralisierung von Identitäts-/Authentifizierungsanbietern.
  • Einige Nutzer suchen nach Empfehlungen für vertrauenswürdige zentralisierte Identitäts-/Authentifizierungsanbieter.