Singlesign-onplatform Okta begint onderzoek na claims over hack

Authenticatieplatform Okta is mogelijk gehackt. Het bedrijf bevestigt dat het slachtoffer is geworden van ransomwaregroep Lapsus$. Details over de hack zijn er niet, maar de schade kan groot zijn. Okta is een platform dat singlesign-ondiensten aanbiedt.

Okta wil niet definitief bevestigen dat de hack heeft plaatsgevonden. De hackers zouden screenshots op Telegram hebben gezet waarop te zien is hoe ze in de interne omgeving van het bedrijf zitten. Op de screenshots is onder andere te zien dat de aanvallers toegang zouden hebben tot adminaccounts die klantaccounts konden aanpassen. Ook blijkt dat de aanvallers al sinds zeker januari in de systemen zouden zitten. Volgens experts zou de hack plaats hebben kunnen vinden via een gedetacheerde werknemer. Het bedrijf bevestigt aan Reuters dat het 'gehoord heeft van de berichten' en dat het inmiddels een onderzoek is gestart.

De potentiële schade van de hack zou groot zijn. Okta biedt een singlesign-onplatform aan dat door bedrijven wordt geïmplementeerd om log-infuncties te bouwen. Met toegang tot klantgegevens zouden de aanvallers eenvoudig bij die bedrijven kunnen binnendringen. Mogelijk is dat zelfs al gebeurd omdat de hackers al zo lang toegang hadden tot het netwerk. De aanvallers zeggen op Telegram vooral geïnteresseerd te zijn in de klanten van Okta en niet in het bedrijf zelf.

De hack zou zijn uitgevoerd door de ransomwaregroep Lapsus$. Dat is een opvallende ransomwarebende. De groep lijkt minder professioneel te werk te gaan dan veel andere ransomwaregroeperingen, maar heeft wel een paar grote hacks op zijn naam staan. Lapsus$ hackte onder andere Nvidia en Samsung en zette na die hacks broncode online.

Door Tijs Hofmans

Redacteur

22-03-2022 • 08:08

100 Linkedin

Submitter: Dannyvrf

Reacties (100)

Wijzig sortering
Ik kan er niks aan doen, maar ik vind dit mooi. Het laat zien dat dat hele cloud/sso gebeuren zo fragiel is als het maar wezen kan.

Toen ik nog werkte bij een groot bedrijf welke ook alles wilde uitbesteden zoals sso en cloud gebeuren waarschuwde ik hun al dat je zoiets niet moet centraliseren. Het is te makkelijk voor high class hackers om de centrales te hacken om zodoende een heleboel bedrijven te benadelen. En zie hier wat er gebeurd. We moeten allemaal maar zo nodig in de cloud werken en gevoelige data over de lijntjes van dit soort bedrijven sturen, want dat is hip. Nee, het is gewoon oliedom.

Afijn, mijn advies werd niet opgevolgd en ik ben dus ook maar uit het ict wereldje gestapt, want imo snapt niemand er iets van.

Edit: ik heb het even aangekeken en zoals de comments ook al aangeven en zoals ik het dus ook zelf ervaren heb lopen de mensen achter de massa aan. Ja, de cloud is een geweldig iets wat kostenbesparend zou kunnen zijn en veiligheidstechnisch ook helemaal top. Maar wat ik vooral beproef in de comments is dat ze niet willen of durven te kijken in de toekomst via een zwarte koker. Als sys/netwerkadmin van een bedrijf moet je je kunnen visualiseren wat een eventueel doomscenario zou kunnen zijn. Doe je dat niet of wil je dat niet, dan ben je pertinent (imo) ongeschikt voor je werk.

Werken in de cloud zorgt er ook voor dat eventuele vijanden tijdens een digitale oorlog zich zeer makkelijk kunnen richten op een punt. En dat is wat er nu dus gaande is en dat is wat er de komende jaren heeel heeel heeel veul gaat gebeuren. Daarbij is al je bedrijfsgegevens overhevelen naar de cloud het domste wat je kan doen als je een bedrijf hebt die er toe doet (aandelen of innovatiegericht).

Maar nee, ik ben weer een senior sysadmin die bang zou zijn dat zijn baan wordt wegbezuinigd lol. Ik heb nieuws voor de meeste mensen...ook jullie banen zullen wegbezuinigd worden in de toekomst dmv AI. Want AI en de cloud tesamen is de grootste Trojaanse paard die we naar binnen hebben gewerkt.

Slaap lekker

[Reactie gewijzigd door Yzord op 22 maart 2022 22:42]

[ ] ... want imo snapt niemand er iets van.
Want je weet ook dat deze 'Hacking' groep letterlijk accounts van werknemers opkoopt? Lapsus is bereid om te betalen voor je accounts. Als (onderbetaalde) servicedesk medewerker (met rechten op de infra) zijn hier kansen. Of mogelijk een medewerker die al een tijdje gefrustreerd rondloopt zoals jij uit de IT bent gestapt. Dat zijn de gevaarlijkste.

Duidelijk heb jij er alle verstand van.

[Reactie gewijzigd door D0phoofd op 22 maart 2022 09:42]

Ik lees het vooral ook als een eigenwijze systeembeheerder wiens baan is wegbezuinigd doordat het in de cloud efficiënter gedaan kan worden. De meeste mensen denken dat ze beveiliging zelf beter kunnen doen. Er is maar een heel klein percentage waarvoor dat werkelijk zo is. De rest denkt het alleen...

Het probleem van toegenomen hacks is vooral dat elk bedrijf tegenwoordig aan het internet hangt en dat ransomware, hacks, ... gewoon een verdienmodel zijn geworden. Ik geloof niet dat de systemen 10+ jaar geleden veiliger waren. Toen was het motto meestal "if it ain't broke, don't fix it", maar waren gewoon het aantal aanvallen veel beperkter.

Het grootste probleem voor on-premise zijn vaak de onveilige VPN oplossingen die ad-hoc zijn ontstaan met het thuiswerken. Totaal onbetrouwbare devices worden middel OpenVPN toegelaten in bedrijfsnetwerken. Valt me nog mee wat er eigenlijk maar is gebeurd.

De screendumps die ik hier zie kunnen inderdaad ook van een support-medewerker zijn die slechts beperkte toegang heeft. Dat je veel apps ziet wil niet zeggen dat je daar ook daadwerkelijk wat mee kan.
@BugBoy The Cloud is ook ergens on-premise, maar dan is er iemand anders eigenaar van de machine en de data.
De core-business van die personen is je data veilig en beschikbaar houden. Ik verwacht dat bij AWS, Azure, GCP, ... over het algemeen betere techneuten zitten dan bij het gemiddelde MKB bedrijf. Probeer zelf maar eens dezelfde beschikbaarheid te halen als bijv. AWS S3. Voor een off-site backup is AWS S3 bijvoorbeeld echt onverslaanbaar.
Ja dus?
business is business; die hebben geen eed of gelofte; enkel regels en wetten waar ze zich aan moeten houden. De grootte van een bedrijf is irrelevant; de vestigingsplaats niet.

En het moge duidelijk zijn dat als je externen inhuurt, dat die meer waarde geacht worden toe te voegen dan reeds in het bedrijf aanwezig.

Dus bv. qua data, wordt het probleem in de Cloud enkel groter, met meerdere partijen die aanspraak maken op het eigendom daarvan. En meer regels om aan te voldoen; ook die van andere landen, en die kunnen conflicteren. Dit alles leidt enkel tot inefficiëntie en problemen. Niet tot verbetering van het internet, of features die daar gebruik van maken. Eén van de gevolgen is dat zowel LAN als WAN administrators in de problemen komen.

De veiligste backup methode blijft fysieke mediums op gescheiden locaties.

[Reactie gewijzigd door Bulkzooi op 23 maart 2022 01:02]

Ja dus? business is business; die hebben geen eed of gelofte; enkel regels en wetten waar ze zich aan moeten houden. De grootte van een bedrijf is irrelevant; de vestigingsplaats niet.
In een bedrijf van 10 man is er vaak geen geld voor een degelijk IT-security specialist. Dan is het vaak verstandig om je data toch buiten de deur te leggen.
En het moge duidelijk zijn dat als je externen inhuurt, dat die meer waarde geacht worden toe te voegen dan reeds in het bedrijf aanwezig.
Ja, maar die externe personen zijn ook niet gratis. Ik werk zelf als ZZP-er voor verschillende bedrijven, maar er zijn veel "externen" die niet zo heel veel kennis hebben. Maar in het land der blinden, is één oog koning, dus er wordt vaak toch op vertrouwd. Ik ben vooral kritisch op personen die 100% cloud of 100% on-premise beweren.
Dus bv. qua data, wordt het probleem in de Cloud enkel groter, met meerdere partijen die aanspraak maken op het eigendom daarvan. En meer regels om aan te voldoen; ook die van andere landen, en die kunnen conflicteren. Dit alles leidt enkel tot inefficiëntie en problemen.
Kan je aangeven waar dit in de praktijk een probleem oplevert? Behalve voor zeer kritische data (zoals belastingdienst, militaire gegevens, dure R&D zoals bij ASML, ...) is het vaak een veel praktischere oplossing. Voor off-site backups kan je meestal die backup ook versleutelen. De kunst is dan alleen te zorgen dat je de key secure bewaart. Voor veel MKB is het gewoon handiger om je off-site backup van Veeam gewoon naar AWS S3 te pushen met object locking aan.
De veiligste backup methode blijft fysieke mediums op gescheiden locaties.
Zoals je zelf als zei. De cloud is gewoon de on-premise bij iemand anders. Dus ook een off-site backup in AWS S3 staat ergens op fysieke media. Ik verwacht alleen dat die fysieke media iets betrouwbaarder is dan de media die je zelf beheert.

Maar als je meer vertrouwen hebt in je eigen beheer, dan lekker on-premise houden. Niemand verplicht je naar de cloud te gaan.

[Reactie gewijzigd door BugBoy op 23 maart 2022 10:00]

@BugBoy Je snapt dat je fysieke media kan oppakken en ergens anders kan neerleggen, ofwel off-premise? Dat gaat dus niet over betrouwbaarheid, maar over fysieke scheiding van locaties. De Cloud vergroot de bestaande problemen rondom data en eigendom, zeker als de servers in het buitenland staan.

Je begrijpt dat hier al jaren tig rechtzaken over lopen tussen landen en bigtech?

[Reactie gewijzigd door Bulkzooi op 23 maart 2022 19:12]

Waar ga je die fysieke media dan veilig onderbrengen? Bij een MKB bedrijf met 1 vestiging is dat erg lastig. Daarbij kan je backups prima versleutelen en dan is “eigendom” van die data al helemaal geen issue meer. Voor hele grote bedrijven is het prima zelf te doen. Maar niet ieder bedrijf heeft daar de resources voor.

Zoals ik in mijn eerdere reactie aangaf is de cloud voor sommige gegevens niet aan te raden. Daar lees je volledig overheen en doet alsof elke data zeer confidentieel is. Ik denk dat de lokale systeembeheerder een groter potentieel veiligheidsrisico is dan de cloud provider. Maar als je het niet wil gebruiken, dan lekker om-premise houden.
Natuurlijk brengt de cloud een security risico met zich mee, maar teruggaan naar de tijd zonder cloud? No way dat was ook echt geen pretje hoor. En ook dan heb je een risico als je maar een groot genoeg bedrijf bent.
Hoezo was dat geen pretje? Je eigen datacenter als (groot) bedrijf beschouw ik nog steeds (en de laatste tijd nog veel meer) als een veiligere optie dan de cloud hoor.

En elk zelf respecteerd bedrijf zou dat ook moeten doen ivm bedrijfsgeheimen.
Waarom krijgt deze reactie een -1??
Omdat de reactie van Yzord utopisch is. Als je als bedrijf ALLES in eigen handen hebt en ALLES op orde hebt, dan is zijn reactie 'wellicht' waar.

Maar elk bedrijf heeft infra ter ondersteuning van een primair bedrijfproces. Daarom kom je in de praktijk situaties tegen waardoor deze utopische gedachte niet op gaat. Denk aan budgettering, afhankelijkheden van leveranciers, resourcing (kennis & personeel) voor onderhoud van je eigen infra & ga zo maar door.

Je zou 't bijna arrogant kunnen noemen als je zou denken dat je beter een datacenter kan onderhouden dan een Amazon, Google of Microsoft.
Onderstaande is niet anti-cloud, meer een "ieder voordeel heeft z'n nadeel" verhaal.
Maar elk bedrijf heeft infra ter ondersteuning van een primair bedrijfproces.
Daar staat tegenover dat ieder bedrijf ook weer iets unieks heeft wat ze onderscheidt van de rest. Aangezien ieder bedrijf tegenwoordig een hoop IT gebruikt is de kans groot dat het "unieke" ook iets met IT te maken heeft. Veel bedrijven zijn meer "it bedrijf" dan ze zelf beseffen.
Daarom kom je in de praktijk situaties tegen waardoor deze utopische gedachte niet op gaat. Denk aan budgettering, afhankelijkheden van leveranciers, resourcing (kennis & personeel) voor onderhoud van je eigen infra & ga zo maar door.

Je zou 't bijna arrogant kunnen noemen als je zou denken dat je beter een datacenter kan onderhouden dan een Amazon, Google of Microsoft.
Het "kunnen" staat niet ter discussie, maar de keerzijde is dat je als klant/gebruiker nog steeds moet kiezen wat van het aanbod je wil gebruiken en hoe je het inricht en dat wordt steeds complexer. Je kan bijvoorbeeld kant-en-klare storage kopen maar als je beheerder de rechten niet goed instelt dan is het niet veilig.
Het probleem dat ik tegenwoordig zie is dat steeds lastiger wordt om te begrijpen hoe alles samenhangt hoe verder weg het komt te staan. Op zich is dat geen probleem want je krijgt er veel voor terug, maar je moet wel de juiste mensen hebben. En daar wordt het lastig want "de cloud" wordt vaak gezien als kant-en-klare IT waar je geld mee kan sparen en waar je dus minder of minder goed personeel voor nodig hebt. Als je niet oppast maak je van je IT'ers een soort slechte inkoopmanagers (daar zijn ze immers niet voor opgeleid) en dan vertrekken de goede mensen. Zonder die mensen wordt je steeds afhankelijker van de leverancier die natuurlijk nooit verder kijkt dan de eigen producten.
Je bent zo sterk als de zwakste schakel. Ook in een eigen datacenter heb je blinde vlekken. 100% security zoals banken uitvoeren lijkt de enige oplossing te zijn maar dat kost enorm veel. Helaas kijken bedrijven nog altijd naar de pecunia.
De sterkte schakel moet liniair zijn aan de impact die jouw bedrijf heeft. Ben jij ZZP met 10 opdrachten in een jaar is een heel ander kaliber dan een security bedrijf die een SSO service bied, die hoort gewoon op maximale beveiliging te zitten zonder enige vorm van compromis. Maarja.. de overrulende trap is nog altijd geld, zolang die de basis en de maatstaaf is, zal geen enkele oplossing waterdicht zijn.
De securitymogelijkheden van de grote cloud vendors (AWS, Azure, GCP) zijn vele male groter dan wat jij in je eigen DC kan. Ze hebben zeer geavanceerde AI-systemen om inbraken te detecteren, enorme teams. Dat kan je nooit zelf investeren.
Ook wat jij schets kun je inhuren voor je eigen DC functie bij de boven genoemde partijen. (zogenaamde wasstraat)
Maar aan alles hangt plan van aanpak en een prijskaartje natuurlijk
Maar ik geloof wel in hybride-clouds (stuk privé-cloud, stuk shared-cloud en je eigen deel) ondanks dat het wellicht een implementatie klus is zowel op uitvoering als security.
Ja en nee.
Ja ik denk dat de cloud vendors veel meer doen en beter met security omgaan.
Tegelijkertijd zijn ze ook een aantrekkelijk doelwit want als je eenmaal daar binnen bent kan je in een keer de halve wereld platleggen.

Een ander ding is dat de providers ook niet alles zelf in de hand hebben.
Om even maar een voorbeeld te geven: wat gaat er gebeuren bij een CPU hardware exploit die niet of slechts te patchen is met b.v. 90% performance degradatie?
Cloud providers hebben daar simpelweg geen oplossing voor behalve hopen dat dat nooit gebeurd.
En dan ga je alsnog zwaar leunen op externe providers voor de setup en beheer van die infra en je beveiliging of je doet ook dat in eigen beheer met mensen die de producten vaak minder goed kennen en meer moeite hebben om bij te blijven met alle details van hoe je alles nu goed beveiligd.

Hoe jet het ook draait of keert, er zijn altijd zwakke schakels en je moet altijd voorzichtig zijn.
Ik heb een keer bij een groot bedrijf gewerkt die zelf een eigen datacenter had. Eén van de elektrotechnische monteurs presteerde het om 110V op het stroomnet te zetten in plaats van 230V.

Na 5 plofjes en rookwolkjes heeft ie tóch de schakelaar maar weer even uitgezet.

"Lokaal" beheer heeft z'n voor- maar ook zéker z'n nádelen.
Bij een eigen data center verloopt communicatie nog steeds over internet
Je hebt niet een datacenter fysiek in ieder kantoorgebouw, dus er is altijd toegang van afstand nodig
En er hoeft maar één medewerker op een phising link te klikken, omgekocht te worden of bedreigd of gechanteerd te worden, en dan ben je ook binnen
Je eigen datacenter als (groot) bedrijf beschouw ik nog steeds (en de laatste tijd nog veel meer) als een veiligere optie dan de cloud hoor.
Je zegt het eigenlijk zelf al: als GROOT bedrijf. Een eigen datacenter opzetten + personeel + de rest is een miljoenenproject, en 95% van de bedrijven is zo groot echt niet. Met de cloud kun je met weinig personeel en weinig investeringen voorop ook groot worden; denk aan een Whatsapp die met een handjevol mensen een miljardenbedrijf gebouwd hebben. Of allerlei tech startups tegenwoordig. Die kunnen van nul naar een miljoen gebruikers gaan zonder dat ze jaren en miljoenen hoeven te investeren.
Toen ik nog werkte bij een groot bedrijf welke ook alles wilde uitbesteden zoals sso en cloud gebeuren waarschuwde ik hun al dat je zoiets niet moet centraliseren
Wat is jouw voorgestelde oplossing dan? Het eerst waar ik aan denk als tegenhanger van de cloud is alles zelf hosten/bouwen. Maar dat lijkt me júist centralisatie. Plus dat het in theorie leuk klinkt om alles zelf in beheer te hebben maar in de praktijk blijkt dat helemaal niet zo handig te zijn, want dan moet je opeens zelf alle backups, redundantie, wereldwijde beschikbaarheid etc. regelen (om maar te zwijgen over development werk als je dingen zelf moet ontwikkelen ipv een kant-en-klare SaaS oplossing pakt).

Het is dan wel een goed punt als het over vendor lockin gaat: dat je je product specifiek om 1 aanbieder heenbouwt (in dit geval bv. Okta) en daar dan eigenlijk niet meer wegkan omdat het geen algemene protocollen oid gebruikt. Dat vind ik wel goed om in de gaten te houden. In de praktijk wissel je dan weer niet zo snel van aanbieder voor onderliggende infrastructuur, maar het is toch goed om de risico's in ieder geval in beeld te hebben over wat als jouw (in dit geval) authenticatie platform eruit ligt of gehackt wordt.

[Reactie gewijzigd door Chris7 op 22 maart 2022 08:56]

Alles zelf hosten is geen centralisatie, maar decentralisatie. Het is alleen minder efficient. Die winst in efficiëntie gaat gepaard met macht uit handen geven waarbij risico's worden uitbesteed naar meer competente, maar geen perfecte partijen. Er is risico op fouten, corruptie en machtsmisbruik.

De oplossing hiervoor is vaak standaardisatie gecombineerd met decentralisatie. Dus een enkele standaard die door de tijd heen bewezen is om het minder bekwame mensen, makkelijker te maken om het goede te doen.
Alles zelf hosten is geen centralisatie, maar decentralisatie.
Alles diensten die bij verschillende bedrijven gehost worden verplaatsen naar 1 plek (onder eigen beheer) klinkt toch echt wel als centralisatie.
Perspectief is in dit geval heel belangrijk, voor 1 bedrijf is het centralisatie door alles naar eigen beheer te schuiven, maar vanuit de andere kant is 1 oplossing voor vele bedrijven weer centralisatie.
Daarom kijk ik er niet naar vanuit het oogpunt van een bedrijf, maar vanuit het oogpunt van de hele samenleving. Diensten en data verdelen onder meerdere partijen is de definitie van decentralisatie voor mij. Daarbij komt ook enige redundantie kijken. Het perspectief zou wat mij betreft dus niet bedrijf A of bedrijf B moeten zijn, maar het totaalplaatje van iedereen.
Dat is een vreemd gezichtspunt, want een bedrijf heeft een verdienmodel en daarbij hoort data. Als dat bij elkaar zit bij de eigenaar (het bedrijf), op 1 locatie, dan is dat centralisatie. Kijk, een klein bedrijf met een paar systemen, dan kun je nauwelijks van centralisatie spreken. Ik weet niet waar het omslagpunt zit tussen 'zelf te weinig kennis' en 'zelf genoeg kennis'. En of dat voor de grotere of hele grote bedrijven weer 'meer' of 'minder' kennis is.

Uit ervaring: een bedrijf met 20k werknemers heeft mogelijk genoeg kennis in huis, maar is zo groot, dat ook daar kennis gefragmenteerd is. Maar als je diensten afneemt van een cloud provider, dan heb je daar ook 1e lijns/junior medewerkers die nauwelijks van de hoed en de rand weten en interne (security) architecten die het wel weten. Maar omdat een cloud provider primair aan je wilt verdienen, is niet gezegd dat je voor dat geld de beste security krijgt. Als er met meer te betalen meer security te krijgen is, zullen ze het niet laten. Daartegenover zal een eigen werknemer, met hart voor de zaak (dat bestaat hopelijk nog), samen met kundig management en specialisten met kennis, mogelijk een betere oplossing bieden.

In ieder geval kostte een kek systeem bij een grote bekende cloud provider veel meer dan eigen spul. En dan nam je de energiekosten, beheer, uren mee. En lokaal was de schaalbaarheid minder. Maar daar betaal je dan ook serieus voor in de cloud. Ze maken daar niet voor niets winst. Op werkelijk alles zit een opslag, van stroom tot kabels en racks en alles wat er tussen in zit.

Iedereen speelt in dit verhaal nauwelijks of geen enkele rol, daar bedrijfsdata irrelevant is voor het grootste gedeelde van de meute. Tenzij het om gegevens 'van iedereen' gaat. Je perspectief is m.i, daarom een hele vreemde.
Dat is prima en wordt ook veel gedaan nog, maar dat soort setups verouderen vaak; het wordt in een keer of over meerdere jaren opgezet, en vervolgens wordt er niks meer mee gedaan omdat de ICT afdeling het te druk heeft met andere zaken. Hierdoor krijg je verouderde en onveilige systemen, of krijg je heel veel "noodgevallen" als in, dit ding moet NU geupdate worden omdat er een beveiligingslek in zit.

Als ICTer moet je bij elk systeem een "contract" opstellen; doorlopende kosten voor onderhoud en bijwerken, een schema voor updaten en onderhoud, een prijskaartje voor opleiding of zelfstudie voor de mensen die er voor verantwoordelijk zijn om zo de best practices te leren kennen (veel software is niet "secure by default", denk aan bijv. databases), etc etc.

Veel ICT zaken worden uit de losse pols opgezet, maar dat moet veel formeler gedaan worden IMO.
En dan ga je er vanuit dat die issues alleen spelen bij bedrijven die hun eigen IT regelen, maar niet bij de bedrijven aan wie je de IT zaken outsourced?
Dat is nogal naief.

Het blijkt nu zelfs dat als een bedrijf een SSO platform aanbiedt je er niet vanuit mag gaan dat ze "state of the art" security hebben.
Als ICTer moet je bij elk systeem een "contract" opstellen;
<knip>
Veel ICT zaken worden uit de losse pols opgezet, maar dat moet veel formeler gedaan worden IMO.
Je kan je zelfs afvragen of de grootste kracht van de cloud niet is dat de meeste kosten direct moeten worden afgerekend waardoor je niet kan doordraaien met systemen/applicaties waar geen geld voor is. Dat maakt de kans op lijken in de kast kleiner.

Ik heb het hier overigens alleen over geld. Dat het in de cloud draait betekent nog niet dat alles zichzelf onderhoudt. Vaak zul je zelf toch nog steeds iets moeten doen zoals updates installeren/ goedkeuren of configuraties aanpassen, een beetje afhankelijk van het soort product en soort cloud (saas/paas/etc...).

Maar je hebt bij ieder product een contract en als er niet betaald wordt gaat het onmiddellijk weg, je kan niet de IT-afdeling vragen om nog maar weer een keer een oogje dicht te knijpen of wat extra uren te maken om een of andere dinosaurus in leven te houden.
Dit is een aloud probleem. Mensen met TI kennis weten dat outsourcen niet de veiligste oplossing is. Maar een bedrijf bestaat niet uit alleen maar TI mensen. Managers en accounts zullen erop wijzen dat outsourcen geld kan besparen en mankracht en dat vaak contracten betekenen dat service en verantwoordelijkheid goed is geregeld.
Je hebt ook natuurlijk het issue dat je niet constant hetzelfde wil wilt uitvinden. Waarom het wiel uitvinden als je ze gewoon kunt inkopen ergens?

Amazon en Apple zijn o.a. klanten van Okta en dus mogelijk doelwit van deze hack. Ik vraag mij af of Lapsus$ als broker doet werken. Dit is vaak het geval. Een groep krijgt toegang en laat dan derden tegen betaling gebruik maken van de toegang.

Twee maanden is vrij lang, lang genoeg voor andere groepen om informatie te ex-filtreren voor de zwarte markt of om zelf dieper netwerken van derden in te komen.
en dat vaak contracten betekenen dat service en verantwoordelijkheid goed is geregeld.
Als dat toch eens waar zou zijn... Ik zie voortdurend conflicten tussen onze eigen regels/beleid/wensen, onze wettelijke plichten en wat de leveranciers aanbieden. Het lastige (niet alleen in de IT) is dat je mensen nodig hebt met zowel verstand van de techniek als van papier. Mensen die zowel software snappen als SLA's als privacy en nog wat andere aspecten. Ik wil niet beweren dat ik daar geschikt voor ben maar zelf ik zie dat het steeds weer een zwak compromis is waarbij de voorwaarden eigenlijk altijd worden bepaald door de leverancier en de problemen zijn de verantwoordelijkheid van de klant.
Ben blij dat ik een gelijk gestemde vind. Ik roep ook al jaren dat SaaS en SSO een slechte combinatie is. Hele medische dossiers hangen gewoon aan het internet en moeten vooral gemakkelijk te benaderen zijn en een SSO en MFA hebben die voor de eindgebruiker geen moeite kost…..
Ik ben altijd benieuwd naar de alternatieven die het anti cloud / saas kamp heeft . Wat ik niet geloof is dat je het beter kan, want in the end gebruik je ook producten waar ook fouten kunnen in zitten. Door het zelf te doen verplaats je de risico’s gewoon een laagje lager.
Hele medische dossiers hangen gewoon aan het internet en moeten vooral gemakkelijk te benaderen zijn en een SSO en MFA hebben die voor de eindgebruiker geen moeite kost…..
Natuurlijk moeten dossiers gemakkelijk benaderbaar zijn! Je wil toch ook snel en effectief geholpen worden met minimale kans op verkeerde medicatie of miscommunicatie tussen zorgaanbieders?
Ik ga liever niet terug naar vroeger toen je risico liep op verkeerde medicijnen als de apotheker het handgeschreven briefje van de dokter niet goed kon lezen...
Dossiers moeten totaal ontoegankelijk zijn voor niet geautoriseerde personen. Dus geen internet toegang. En een eventuele private lijn, echte aparte draadjes, geen VPN, nog steeds goed beveiligd. Toegang gelogd, zonder mogelijkheid de logging te editen.
Als dossier toegang belangrijk is wil ik zelf een kopie van dat dossier bij me hebben ter inzage.

Misschien beter om te zorgen dat je begrijpt wat de dokter voorschrijft zodat je weet of de apotheek het goed of fout doet. Nog steeds. Ook nu. De zesjes cultuur duurt al te lang.
Dossiers moeten totaal ontoegankelijk zijn voor niet geautoriseerde personen. Dus geen internet toegang. En een eventuele private lijn, echte aparte draadjes, geen VPN, nog steeds goed beveiligd. Toegang gelogd, zonder mogelijkheid de logging te editen.
Als dossier toegang belangrijk is wil ik zelf een kopie van dat dossier bij me hebben ter inzage.
Als je denkt dat dat tegenwoordig nog haalbaar is met onze communicatie infrastructuur die compleet over IP loopt (VOIP, zelfs 'private' netwerken zijn gewoon VPN) heb je 10 jaar onder een steen gelegen.
Toegang loggen en auditing zijn al lang wettelijk vastgelegd.
Bovendien heb jij geen volledig medisch dossier bij je als je door een auto geschept wordt (om nog maar niet te spreken over het risico van verlies als iedere Nederlander met een pak papier rond moet lopen).
Misschien beter om te zorgen dat je begrijpt wat de dokter voorschrijft zodat je weet of de apotheek het goed of fout doet. Nog steeds. Ook nu. De zesjes cultuur duurt al te lang.
En al die mensen die het niet begrijpen krijgen dan onvoldoende medische hulp? Jouw voorstel impliceert juist een cultuur van dikke onvoldoendes en kamervragen.
Nee, dat iedereen die het begrijpt zelf in de gaten houdt of alles klopt. Minder fouten dus.
Dat zou de grote meerderheid moeten zijn. Of denk je dat ik mensen nu overschat?
En de meeste mensen hebben voor ongevallen geen relevant medisch dossier.

De computer van de huisarts zou geen internet verbinding mogen hebben.
Eventueel internet bij de huisarts moet via een 2e pc lopen. De 1e voor het dossier.

Ik heb niet 10 jaar onder een steen gelegen, ik ben me alleen al meer dan 20 jaar ervan bewust dat een overbodige netwerkkoppeling onacceptabel extra risico oplevert.

@Yzord legt het verder hier boven al goed uit. Yzord in 'Single sign-on-platform Okta begint onderzoek na claims over hack'

Veiligheid van gegevens begint bij toegang beperken. Zet je je gegevens op internet? Dan ben je ze kwijt.
Of denk je dat ik mensen nu overschat?
Dat zeker. En je onderschat hoeveel extra werk (ook nu al) het oplevert dat mensen die het niet begrijpen de zorg nu al opleveren (vnl mensen die denken dat ze met medische kennis van youtube meer weten dan de dokter)
Veiligheid van gegevens begint bij toegang beperken. Zet je je gegevens op internet? Dan ben je ze kwijt.
Lekker genuanceerd.
Ik zet liever mijn gegevens bij een cloud hosting provider met een volledig opgetuigd security team wat de juiste maatregelen neemt dan dat mijn gegevens in een excel sheetje op een met ransomware geïnfecteerde PC staan. Want uiteindelijk zit praktisch iedere computer tegenwoordig 'op internet', het is veel te duur en onwerkbaar om van alles en nog wat zonder goede redenen te 'air gappen'. Bovendien krijg je dan weer rondslingerende afdrukjes, usb sticks, per ongeluk netwerkkabel ingeplugd etc.
Wat een typische kinderlijke rant weer, zoals we zo vaak meemaken in dit wereldje. De minder goede beheerders voelen zich bedreigd door de nieuwe ontwikkelingen omdat ze ineens dingen moeten doen die ze wat minder leuk vinden of waar ze nog niet zo goed in zijn. Je opmerking "dat niemand er iets van snapt" slaat ook helemaal nergens op, met je "lekker puh, ik had gelijk!!!!" verhaaltje. Het is bij veel bedrijven voor hackers ook vrij simpel om op on-prem omgevingen in te breken, dus welk punt probeer je nu precies te maken?

Je klinkt net als die ene net nog niet pensioenerende "senior" beheerder bij menig bedrijf die gewoon geen zin meer heeft in werken.
Nee, ik ben die pensioenerende "senior" beheerder die al jaren loopt te verkondigen dat je je niet moet overgeven aan multinationals die allemaal onder de Patriot Act vallen. Want iedereen staart zich blind op de “possibilities” en het kunnen en mogen roepen dat ze partner zijn van een van deze multinationals zonder ook maar een moment na te denken dat al je gegevens open en bloot op straat kan komen te liggen. Omdat deze multinationals ook gewoon doodnormale mensen in dienst hebben die voor een zak geld de deur op een kiertje willen zetten.

Maar nee, de zogenaamde managers van bedrijven voelen zich zo belangrijk dat ze hun hele hebben en houden van het bedrijf overhevelen naar clouddiensten want dat was ineens hip en kostenbesparend. Maar dat het imagoschade kan oplopen, dat komt niet voor in hun vocabulair.

Dus ja, nu zit ik als gepensioneerde senior beheerder met zijn 42e in de vut ja. Zoek het maar lekker uit.
Want een eigen (slecht of goed) beveiligde on-prem omgeving geeft je de garantie dat dat niet gebeurt? Misconfiguratie kan in beide soorten omgevingen net zo'n zwakke schakel zijn. Data centers zijn ook niet heilig en kunnen ook bad actors hebben, gehackt worden of weet ik wat. Ik hoor je alleen over de zogenaamde negatieve kanten van cloud (en ik ga echt niet ontkennen dat die er niet zijn), maar niet over de positieve kanten. Feit is dat cloud engineering een hoop zorgen wegneemt. Geen fysiek beheer meer, veel mogelijkheden tot scaling zonder daar zelf in te investeren, repeatability van omgevingen met IaC zonder het gezeur van aankoop van hardware, weken lange durende opzet van contracten, services die je het dagelijkse beheer en onderhoud uit handen nemen van onderliggende servers en zo zijn er een tal van andere grote voordelen.

Dat jij opmerkingen maakt als "managers kiezen voor cloud omdat het hip en kostenbesparend is" laat alleen maar zien dat jij zelf degene bent die er niet veel vanaf weet. Elke sjonnie weet dat cloud ontzettend duur is, maar toch weegt het op tegen de moeite die het kost om zelf een data center omgeving in de lucht te houden. Het sprookje dat de cloud kostenbesparend zou zijn, is al ruim 10 jaar geleden uit de wereld geholpen.

Zulke "senior" beheerders ken ik maar al te goed. VLANs zijn zeker ook "poor-mans networking" omdat het allemaal iets te moeilijk wordt en scrippies freubelen doe je vast ook nog in Perl (al Perl FTW :+ ). Ik denk dat je de juiste keuze hebt gemaakt om uit de IT te gaan, want met zo'n gedachtengang ga je het er niet lang meer volhouden.
Beveiliging begint bij toegangs beperking. Geen verbinding / internet waar het niet hoeft dus.
Het een sluit het ander toch niet uit? Ik zeg overigens niet dat cloud overal de oplossing voor is en dat elk bedrijf er maar aan moet "omdat". Ik ben zelf - afhankelijk van het bedrijf - ook fan van on-prem omgevingen. Het gaat mij er vooral om dat ik flauw ben van mensen die cloud altijd maar afbranden "omdat". Beide hebben goede use-cases en hun eigen voor- en nadelen en als je beide nodig hebt om welke reden dan ook, kun je altijd prima een hybride architectuur hanteren.

Dit!
Goed risk management toepassen en dan 'Best of breed' keuzes maken.
Jij gaat er dan vanuit dat alle bedrijven de mogelijkheid hebben om super admins in te kunnen huren. Zoveel zijn er geeneens op de markt beschikbaar. Vroeger kon dat nog een stuk makkelijker omdat ict veel minder gebruikt werd. Met het huidige gebruik is het onmogelijk dat iedereen het voor zichzelf regelt. Om nog maar niet te spreken over de gigantische hoeveelheden energie die het extra kost als iedereen z'n eigen it stack on prem bouwt.
Ondanks dat ik je mening deel dat je niet alles moet uitbesteden is het ook zeker NIET een goed idee alles in house te willen doen. Je kan namelijk ook stellen dat als je er geen verstand van hebt je het beter niet zelf kan bouwen. Doorgaans zitten er enorme legers aan developers achter dit soort bedrijven waarbij ze teams hebben speciaal voor alleen al security.

Nu heeft dit bedrijf duidelijk een steek ergens laten vallen maar kan je jezelf voorstellen wat voor een pleuriszooi het was geworden als iedere pietluttig website/app bouwertje zijn hele eigen security laag had moeten ontwikkelen? Dan waren je gegevens echt nergens meer veilig.

(vervang security voor betaling, filehosting, backups voor meer scenarios waar je het soms beter niet zelf kan doen)

[Reactie gewijzigd door ultimasnake op 22 maart 2022 10:30]

Grootste leugens over de cloud zijn: veiliger en goedkoper

Als je alles goed doet dan kom je duurder uit. En voor veiligheid is de regel: hoe meer je uitbesteed hoe minder controle je hebt van wat er gebeurd. Bovendien zijn die platformen hacken veel meer rewarding, dan maar één bedrijf te hacken. Je hebt als hacker plotseling toegang tot alle bedrijven die er gebruik van maken .
Als het niet deze cloud is, dan is het een andere cloud (of eigen).

Daarnaast zijn er miljarden logins via SSO, ook met andere applicaties. Laten we eerst afwachten hoe de hackers dit voor elkaar hebben gekregen.

Volgens mij zitten veel klanten in een single tenant (of maximaal met paar anderen. Dus dan is de schade al vrij beperkt.
Staat in het artikel! Via de login van een Okta medewerker...
Het enige wat je reactie laat zien is dat je het concept niet begrijpt waarbij je jezelf ook nog eens tegenspreekt.
Dus alles weer terug naar vroeger waar iedere vestiging van een bedrijf zijn eigen IT omgeving had, er geen verbindingen tussen vestigingen lagen en er geen gebruik gemaakt werd van remote access en email?

Je kunt inderdaad alles helemaal zelf en on-premise doen, maar dan moet je ook niet kiezen voor technology van grote bedrijven. Als er vulnerabilities in die technology worden gevonden kunnen er nog steeds een hoop bedrijven worden benadeeld.
Je verdient een +3. Maar dat zien te weinig mensen / lezers / modders, dus hier moet je het mee doen...
Cloud geeft ook te makkelijk toegang voor staats-hackers. We gaan het zien.
Wie nu nog niet voor iedere account een andere ID-password heeft is dom bezig.
En zo min mogelijk gelinkt. En liefst ook geen WiFi maar bedraad, maar ja, er zijn zelfs laptops zonder bedrade aansluiting. Foutje bedankt...
Heb ooit voor werk ergens inlog mogelijkheid gehad, maar met vooraf ingesteld terugbel nummer.
Ik kan me nog herinneren dat er met een antenne gericht op een beeldscherm op afstand werd meegekeken. Hoefde je alleen in de buurt te zijn om mee te kunnen kijken....
Ik weet het. De meeste mensen die in de ict werken die snappen er serieus niks van. Maar ik heb de moed al opgegeven om bedrijven te waarschuwen. Men denkt tegenwoordig zo kortzichtig, maar als ze nou eens in de toekomst zouden denken (zoals ik doe) dan begrijpen ze wellicht dat het oliedom is om alles maar te centraliseren ala cloud. Maar goed, je ziet het aan het moderatiesysteem hoe simplistisch mensen denken de wijsheid in pacht te hebben.

Ze komen er nog wel achter. Niemand die snapt dat bij een digitale oorlog het veel makkelijker is om 1 doel aan te vallen dan meerdere doelen. Snappen ze niet. Want de cloud waar ze in hangen is superbeveiligd en er hangt een naampje aan ala noem maar op welke multinational.

Ik heb nieuws voor hun. ALLES is te hacken. ALLES. Dus ook die zogenaamde superbeveiligde over de top prachtige multinational met hun bergen met centen.
We gebruiken hier op het bedrijf ook Okta, nooit begrepen waarom je dat zou doen en niet gewoon de 2-factor van Microsoft zou gebruiken? De Okta is alleen actief op onze O365 producten.

Ik geloof dat we zo snel mogelijk van wachtwoorden af moeten, de hoeveelheid mensen die wachtwoorden vergeten, opschrijven of extreem simpel houden, want iedere 2 maanden veranderen is gewoon erg groot bij grotere bedrijven met een goede pool van 45+ werknemers.
De reden waarom Okta in mijn ogen zoveel handiger is en meer is dan enkel een 2FA-provider:

- Profile provision door HR-afdeling / HR-software
- LDAP-connector
- LDAP-interface
- Meerdere SSO-integraties
- Standaard 2FA opties (bellen,sms,verify app, totp)

Dus eigenlijk het de rotonde en het smeermiddel tussen je applicaties en je accounts.

Echter voor een non-profit omgeving waarvoor ik dit wilde inrichten was het nog steeds te kostbaar. Mijn klant daarentegen heeft bijna alles gemigreerd naar Okta
Helemaal eens, wil nog toevoegen automation/workflows, waarmee je nog van alles kan doen, van geavanceerde rapporten op maat tot zelf custom integraties kan maken. Hieronder trouwens net een update vanuit Okta zelf op LinkedIn:

https://www.linkedin.com/company/okta-inc-
Okta
213,763 followers
43m
In late January 2022, Okta detected an attempt to compromise the account of a third party customer support engineer working for one of our subprocessors. The matter was investigated and contained by the subprocessor. We believe the screenshots shared online are connected to this January event. Based on our investigation to date, there is no evidence of ongoing malicious activity beyond the activity detected in January.
Beetje het idee dat je moet afstappen van sleutels om een deur te openen. Wachtwoord is maar 1 deel van de puzzel, biometrie is gevaarlijk gebied, authenticators zijn niet waterdicht, dus afschaffen is slechts een deeloplossing.
Slecht idee, wachtwoorden moet je ook nog hebben. Anders heb je geen two factor authentication meer .
Wat wel dom is, is van paswoorden te maken van 10tallen karakters met hoge complexiteit.
Het enige dat je bereikt is heel veel telefoontjes op je helpdesk of paswoorden op post-its (gebruiker gaat het overal proberen te noteren omdat ze het niet kunnen onthouden, en dat is net het doel, onthouden... Zo dat het nergens terug te vinden is..) en dat in combinatie met een tweede of derde factor
Dit is wel een gigantisch issue. Ze lijken al twee maanden toegang te hebben en Okta heeft het niet kunnen voorkomen maar vooral ook niet kunnen detecteren. Dat voor een bedrijf dat FEDRAMP gecertificeerd is.

Interessant draadje: https://twitter.com/_MG_/status/1506109152665382920

Ben benieuwd hoe lang Okta nog gaat bestaan. Denk zolang als het de meeste klanten kost om er weg van te migreren.

[Reactie gewijzigd door oak3 op 22 maart 2022 08:24]

Dat is een beetje afhankelijk hoe de hack gegaan is. Als een gedetacheerde persoon zijn pc niet in orde heeft of kwaad in zin had, dan is het vaak niet zo moeilijk binnen te komen en kan het er redelijk legitiem uit zien. (sterker nog, deze screenshots maak je natuurlijk in een paar minuten en kun je zelfs maken als je gewoon op een gehackte pc mee kijkt)

Als ik zo een gok moet wagen hebben ze toegang gekregen tot remote machines van Sykes (een contractor). Dat blijkt ook uit je draadje op twitter. Zowel het account wat ze gebruiken is van iemand bij Sykes als de url waar de remote machine op staat die ze hebben gebruikt.

Maakt het allemaal niet minder erg natuurlijk. Maar geeft aan dat het probleem zich waarschijnlijk buiten Okta bevind en dat zij er nu alleen de dupe van zijn omdat de rechten van die support medewerker zijn misbruikt.
Als het Okta systeem goed in elkaar steekt, zal alles wat die medewerker heeft gedaan op audit zitten en kunnen ze dat terughalen uit de systemen. En als de hackersgroep alleen toegang had tot het supportaccount van deze medewerker (wat ik wel vermoed gezien de screenshots), hebben ze de audit in ieder geval niet kunnen wissen.

Vanuit Okta zou ik wel alle klanten adviseren om een full password reset door te voeren op alle accounts in okta en de lijsten van gebruikers te laten controleren.

Sykes/Sitel lijkt nu wel een groter probleem te hebben dan Okta, als dit via hun systemen is gegaan. Jammer dat Tweakers niet ook informeerd bij Sykes Nederland of die remote machine inderdaad onderdeel is van hun infrastructuur.
Een bedrijf zo kritisch als Okta mag niet kwetsbaar zijn voor een support medewerker die teveel rechten heeft. Dat moet onderdeel zijn van de risico analyse. Daarnaast kun je ook detecteren op afwijkend gedrag van een gebruiker.

En als het ook nog eens te maken heeft met eerdere hacks van bijvoorbeeld Nvidia, dan heeft Okta een groter probleem. Dan is het gek als ze het niet wisten of kwalijk als ze het niet gecommuniceerd hebben.

Voor een bedrijf als Okta mag je echt meer verwachten, zeker als ze aan de Amerikaanse overheid leveren. Excuus dat als een intern persoon toegang heeft er niets aan te doen is, is niet genoeg.

Voor nu even afwachten, maar ziet er echt niet goed uit.

[Reactie gewijzigd door oak3 op 22 maart 2022 09:00]

Zeggen dat iets slecht is, is altijd eenvoudig. Je kijkt er nu van de zijlijn naar en zecht dat dit nooit had mogen gebeuren. En je hebt ergens een punt. Maar in de echte wereld worden er fouten gemaakt of zijn er mensen die wel eens buiten de lijntjes kleuren en als dan alle gaten in je zwitserse kaas op 1 lijn vallen dan komen aanvallers er gewoon door.

Het is nu afwachten wat de root cause is geweest en welke lessen hieruit geleerd worden. Ik hoop vooral dat Okta daar transparant over zal zijn.
Ik krijg van bovenstaand nieuwsartikel eerder het idee dat OKTA het juist een beetje onder de mat wil vegen. Vage statements als: "gehoord van de berichten" en "onderzoek gestart" stralen niet heel veel transparantie uit imho. Zeker van een toko wiens primaire functie security is, zou ik toch wel verwachten dat ze ook strategieën hebben voor als er wel iets mis gaat, zodat er snel achterhaald kan worden wat er fout is gegaan en wanneer het fout is gegaan.
Dat dit in de praktijk gebeurd weet ik en is in veel organisaties simpelweg niet te voorkomen. Waar ik met deze casus wel verschil in maak is de positie waar zij in zitten en die is cruciaal in bijvoorbeeld het zero trust model. En de combinatie met mogen leveren aan Amerikaanse overheid, is waarschijnlijk een teken dat ze zich niet aan hun eigen voorschriften en eigen beleid hebben gehouden. Voor een organisatie als Okta vind ik dat kwalijk.

Als dit zou zijn bij een gemiddelde mkb'er, is dat een heel ander verhaal en zou ik niet anders verwachten.
Het is nu afwachten wat de root cause is geweest en welke lessen hieruit geleerd worden. Ik hoop vooral dat Okta daar transparant over zal zijn.
Dat zal veruit het belangrijkste zijn. Ik ben benieuwd wat er richting einde van de middag naar buiten komt.
Maar even afwachten inderdaad, het is niet eens zeker dat alles via een enkel account verlopen is. Lapsus$ vraagt ook om accounts bij grote bedrijven. Wie weet een ontevreden werknemer in zijn laatste week, zo kun je uiteindelijk natuurlijk overal en op elk niveau binnenkomen als Lapsus$. De analyse maar even afwachten inderdaad, anders kun je met het tempo waarop bedrijven nu gehacked worden, al snel met geen enkel bedrijf meer zakendoen.
Zeker nog nooit op een customer support afdeling gewerkt? Wie denk je dat er gebeld wordt als een account niet werkt? Support medewerkers kunnen vrijwel altijd email adressen van accounts wijzigen en daarna een password reset mail laten versturen...

Support medewerkers hebben ook toegang tot de lijst van medewerkers. Google op de naam van het bedrijf en je hebt zo een paar directeuren te pakken. Je wijzigt het email adres van het account van de directeur en er gaat een wereld letterlijk voor je open...

Als je eenmaal toegang hebt door werkomgevingen van personen, is de rest niet meer zo moeilijk. En dit is alleen nog maar de reguliere toegang van een medewerker. Meet een beetje spelen met XSS, SQL en het veranderen van een aantal id's in url's/forms heb je vaak binnen een paar minuten veel meer informatie dan de medewerker standaard ziet.

Ik heb applicaties gezien welke complete account JSON's naar de client sturen om vervolgens dan alleen NAWTE te tonen...
Juist omdat het zo'n duidelijk aanvalsoppervlak is, wil je het beschermen. Daarom voor je een risico analyse uit en bepaal je mitigerende maatregelen. Dat het een uitdaging zal zijn om een balans tussen business en security te vinden is vanzelfsprekend.

Je kunt een 4-ogen principe toepassen, mensen rouleren met roulerende rechten, allerlei opties om risico's te verkleinen. Daarnaast kun je loggen en monitoren. Misschien niet makkelijk in te regelen, maar wil jij van klant x een account resetten, moet er een ticket zijn van klant x, waarbij die via email is binnengekomen van domein van klant x of van een telefoonnummer van klant x. Als een support medewerker een account reset waar geen ticket van is, dan kan er een alarm af gaan. En als het om gevoelige accounts gaat mag alleen persoon y bij organisatie x dat doen en heb je een bevestigingsproces.

En nee, dit is echt niet voor elke organisatie van toepassing, maar gezien de positie van Okta dient de lat hoog te liggen. En het is echt niet dat er geen oplossingen te vinden zijn die een balans hebben tussen business en security.
Alsnog zou zoiets niet zomaar via een remote machine moeten kunnen verlopen
Daarom moet je altijd met een principle of least privilige werken
Het lijkt me niet aannemelijk dat er werknemers bij contractors zijn die echt toegang tot alle data moeten hebben
En hier vervolgens ook nog eens van afstand bij kunnen
En ook nog zonder verificatie van een andere medewerker of iemand bij Okta
Uit de screenshots blijkt nergens dat ze toegang hadden tot alles.
Je ziet maar een paar US cellen waar ze toegang toe hebben, dat is dus maar een subset van klanten.
En ik zie niet of ze daar volledig toegang tot hadden of alleen de mogelijkheid hadden tot een reset van een wachtwoord (wat je baan mogelijk is als support engineer).
Daarnaast zie je alleen apps die elk bedrijf wel heeft (office, hr).

Support contractors werken meestal via remote machines waar de tools op staan of specifiek voor dat bedrijf support te leveren.
De medewerker die ze in deze hack hebben gebruikt zie je ook dat hij hiervoor support leverde aan cisco, via dezelfde contractor (te vinden op zijn linkedin account). Dan kun je als support medewerker gewoon switchen van remote machine, waarbij de data van klant A niet gecombineerd kan worden met klant B omdat dit losse VM's zijn met tools en verbindingen naar die klant.

[Reactie gewijzigd door SunnieNL op 22 maart 2022 09:54]

[quote]Account Management Tools are notoriously over provisioned basically everywhere.[quote]

dit is denk ik de kern van het probleem - bij veel bedrijven. Iedereen maar volle toegang geven, dat is makkelijker en geeft minder overhead bij het IT team als iemand toegang nodig heeft.
Helaas hanteren te veel bedrijven vanuit gemak nog steeds niet een principle of least privilige
Dat is een heel erg groot probleem, en lijkt ook hier de oorzaak te zijn
Ik hoop voor hem dat die gelijk heeft.
Wie hebben het geïmplementeerd: De big Fortune 500 bedrijf, bedrijven met 25k man wereldwijd ect gebruiken vaak Okta, dus dat kan nog een feestje worden op hun security afdelingen. Okta invoeren koste vaak al een planning van een jaar, als het werkelijk zou zijn. Dan mogen ze dit opnieuw doen met hun 2de keus toen der tijd.
Vaak is het wel een onderdeel van de 2factor-authenticatie dus ze hebben altijd nog hun password beleid :)
We gaan het zien wat het brengt
Okta invoeren duurt doorgaans geen jaar. Ik weet niet welke implementatievoorbeelden je hiervan hebt maar ik kom dit soort doorlooptijden eigenlijk nooit tegen. Hiernaast hangt het natuurlijk behoorlijk af van de scope
Vanaf moment product selectie tot moment van daad werkelijke invoering. Incl interne marketing akties (bewust wording). Toch wel bij die top 500 bedrijven.
Als ze er sinds Januari inzitten, dan is de timing met de hack op Nvidia en Samsung wel toevallig? Zouden dat klanten van Okta kunnen zijn (geweest)?
Dit, of de storing met iCloud diensten gisteravond. Had het idee dat iCloud, Apple, ook OKTA gebruikt voor authenticatie op de cloud services.
Is de authenticatiedienst Auth0, die onlangs door Okta werd overgenomen, ook getroffen?
Lapsus$ zelf meldde (zie bovenstaande screenshot) iets als dat ze niet zozeer Okta gehackt hebben. Maar actief op zoek zijn geweest naar inlog-gevens van Okta klanten. Dat kan natuurlijk bij iedere dienst zoals Okta.

[Reactie gewijzigd door Henk Poley op 22 maart 2022 13:41]

Nee. Deze draaien nog altijd apart. Gelukkig
Als hier ook maar iets van klopt is het enorm.
Grote bedrijven gebruiken dit als SSO oplossing, als hun OKTA omgeving compromised is, geld dit potentieel voor alle accounts, en dus alle benaderbare systemen van een bedrijf.
Niet goed. Als onderstaande klopt gebruiken o.a. Apple en Amazon Okta:

https://www.appsrunthewor.../view/okta-identity-cloud

Al deze bedrijven, en hun klanten en eindgebruikers lopen nu risico. Dit kan zo'n verhaaltje worden met een lange staart.
Dit krijgt vast nog een lang staartje, want veel grote bedrijven gebruiken Okta voor SSO.
Ken ook een paar ziekenhuizen in Nederland die de diensten van Okta gebruiken.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee