Okta-hack zet duizenden bedrijven op scherp

Okta, een authenticatiebedrijf dat door duizenden organisaties over de hele wereld wordt gebruikt, heeft bevestigd dat een aanvaller in januari 2022 vijf dagen toegang heeft gekregen tot een van de laptops van zijn werknemers, maar beweert dat zijn service “niet is gehackt en nog steeds volledig functioneel is “.

De onthulling komt omdat hackgroep $Lapsus screenshots heeft gepubliceerd van zijn Telegram-kanaal dat beweert afkomstig te zijn van Okta’s internals, waaronder een die Okta Slack-kanalen lijkt te tonen, en een met een Cloudflare-interface.

Elke hack van Okta kan grote gevolgen hebben voor bedrijven, universiteiten en overheidsinstanties die op Okta vertrouwen om gebruikerstoegang tot interne systemen te verifiëren.

Maar In een verklaring dinsdagmiddagNu zegt Okta dat de aanvaller slechts beperkte toegang had gedurende die periode van vijf dagen – beperkt genoeg dat het bedrijf beweert dat er “geen corrigerende maatregelen zijn die onze klanten zouden moeten nemen”.

Dit is wat David Bradbury, Chief Security Officer van Okta, zegt dat hij gevaar loopt wanneer een support-engineer wordt gecompromitteerd:

De potentiële impact van Okta’s klanten is beperkt tot het bereik van de support engineers. Deze technici kunnen geen gebruikers maken of verwijderen, of clientdatabases downloaden. Ondersteuningstechnici hebben toegang tot beperkte gegevens – bijvoorbeeld Jira-tickets en gebruikerslijsten – die te zien zijn in de schermafbeeldingen. Ondersteuningstechnici zijn ook in staat om wachtwoordresets te vergemakkelijken en MFA Users-agents, maar ze kunnen deze wachtwoorden niet krijgen.

Hackinggroep $Lapsus, die op zijn Telegram-kanaal schrijft, beweert twee maanden lang “gebruiker/beheerder”-toegang te hebben gehad tot Okta’s systemen, en niet slechts vijf dagen, en toegang te hebben tot een thin client in plaats van een laptop, en beweert te hebben gevonden dat Okta AWS-sleutels opslaat in Slack Channels. De groep gaf ook aan dat het zijn nultoegang in Okta-clients gebruikte. De Wall Street Journal Opmerkingen: In een recente aanvraag zei Okta dat het wereldwijd meer dan 15.000 klanten heeft. Het vermeldt Peloton, Sonos, T-Mobile en FCC als klanten Op haar website.

In een eerdere verklaring gestuurd naar de randOkta-woordvoerder Chris Hollis zei dat het bedrijf geen bewijs heeft gevonden voor een voortdurende aanval. “Eind januari 2022 ontdekte Okta een poging om het account te hacken van een externe klantondersteuningstechnicus die voor een van onze subprocessors werkte. De zaak is onderzocht en in behandeling genomen door de subprocessor.” zei Hollis. “We denken dat de screenshots die online zijn gedeeld, verband houden met dit evenement in januari.”

“Op basis van ons onderzoek tot nu toe is er geen bewijs van aanhoudende kwaadaardige activiteit, behalve de activiteit die in januari werd gedetecteerd”, vervolgt Hollis. Maar nogmaals, ik schrijf in hun Telegram-kanaal, Stel Lapsus $ . voor Hij slaagde erin om een ​​paar maanden door te komen.

$Lapsus is een hackgroep die de verantwoordelijkheid heeft opgeëist voor een aantal opmerkelijke incidenten die van invloed waren op nvidiaEn de SamsungEn de MicrosoftEn de UbisoftIn sommige gevallen stelen ze honderden gigabytes aan vertrouwelijke gegevens.

Okta zegt dat het Okta’s support engineer-sessies heeft beëindigd en het account in januari heeft opgeschort, maar beweert dat het pas deze week het definitieve rapport van zijn forensisch bedrijf heeft ontvangen.

Update, 14:38 uur ET: Okta’s verklaring en beschuldigingen voegden toe dat de inbreuk zeer beperkt was en dat er geen corrigerende maatregelen moesten worden genomen.

Update, 14:58 uur ET: De Lapsus $hacker-groep voegde eraan toe dat het toegang had tot een thin client in plaats van een laptop, en dat Okta AWS-sleutels opsloeg in Slack-kanalen.