Securityplatform Okta is niet gehackt, zegt het zelf. Of toch wel. Nou ja, een klein aantal klanten. En de claims van hackers dat ze álle klanten hebben gehackt, zijn authentiek, maar overdreven. We bespreken wat we over de aanvallers weten en wat de gevolgen zijn van deze aanval.
Wie of wat is Okta?
Singlesign-onprovider Okta heeft twee zware dagen achter de rug nu de notoire hackergroep Lapsus$ beweert diep in zijn systemen te zijn doorgedrongen. Okta is een securitybedrijf uit San Francisco dat sinds 2009 actief is en in die tijd een indrukwekkend portfolio van klanten heeft opgebouwd. Het bedrijf noemt zichzelf een 'identiteitsprovider voor internet'. In de praktijk biedt het een authenticatieplatform aan waarmee organisaties aan identiteitsmanagement kunnen doen. Systeembeheerders kunnen bijvoorbeeld het singlesign-onplatform gebruiken om in een portal de toegangsrechten van alle gebruikers binnen een organisatie in te zien en te beheren. Belangrijk te vermelden is dat dat platform cloudbased is en bedrijven het dus niet in eigen beheer houden.
Het bedrijf zegt dat het 15.000 klanten heeft. Daar zouden grote namen onder vallen: T-Mobile, HP, Sonos en JetBlue zijn slechts een handjevol van die klanten, maar het bedrijf bedient ook overheidsinstellingen als de Amerikaanse FCC. Dat alles maakt Okta een aantrekkelijk doelwit voor criminelen.
Wat voor hack vond er plaats?
De relatief jonge hackergroep Lapsus$ kwam afgelopen maandag zelf naar buiten met de boude bewering dat ze Okta had gehackt. In hun openbare Telegram-kanaal deelden de hackers verschillende screenshots om die bewering te staven. Wat vooral opviel, was de vermeende omvang van de hack. Lapsus$ zou toegang hebben tot veel interne systemen van het bedrijf, van Slack en Zoom tot aan de Google Workspace-omgeving. Wat dat in de praktijk betekent, is niet helemaal duidelijk. Kunnen de hackers daarmee bij alle inboxen van alle Okta-medewerkers? Kunnen ze alle Slack-kanalen meelezen? Hoeveel daarvan zijn openbaar en hoeveel afgesloten en wat wordt daarin gedeeld?
:strip_exif()/i/2004999256.jpeg?f=imagegallery)
Ernstiger is dat in de screenshots te zien is hoe de hackers de gebruikerswachtwoorden van klanten lijken te kunnen resetten. Ze tonen daarbij een screenshot van een medewerker van Cloudflare, dat heeft bevestigd Okta te gebruiken voor werknemersauthenticatie. De hackers zeggen toegang te hebben tot 'een superuser-portal met de mogelijkheid om wachtwoorden en multifactorauthenticatie van zo'n 95 procent van alle klanten te resetten'. Er is nog iets interessants te zien aan de screenshots. Op een daarvan is de datum van 21 januari 2022 te zien. De hackers zeggen op Telegram dat ze inderdaad al sinds die tijd toegang hadden tot de Okta-systemen.
In een latere Telegram-post geven de aanvallers wat meer informatie over de hack. Ze zouden met het Remote Desktop Protocol, of RDP, zijn binnengedrongen via een thinclientlaptop van een support engineer, een externe werknemer die voor een ander bedrijf werkte en wiens inloggegevens de aanvallers wisten te stelen.
De aanvallers zeggen ook dat er AWS-keys werden verstuurd via Slack. Het is niet bekend waar die toe leidden en wat de aanvallers daarmee denken te kunnen doen.
Wat zegt Okta?
Inmiddels bevestigt Okta dat het getroffen is door een hack. Die bevestiging verliep chaotisch. Op dinsdagochtend was het bedrijf nog erg stellig: "Gebaseerd op ons onderzoek tot nu toe is er geen bewijs van malafide activiteit." Wel bevestigt het bedrijf dat er in januari een 'poging werd gedetecteerd om een account van een externe klantenservicemedewerker te compromitteren'. De screenshots die Lapsus$ nu rondstuurt, houden daar verband mee, zei Okta. Het gaat om het bedrijf Sykes, een onderdeel van Sitel Group.
Okta moest al kort daarna terugkomen op zijn eerste bewering. Het bedrijf plaatste toen een uitgebreidere blogpost met daarin een tijdlijn vanaf het moment dat het de hack detecteerde, tot nu. Daaruit bleek dat de aanvallers via een RDP-sessie op de Sykes-machine toegang hadden tot allerlei interne software, zoals Jira, Slack en SalesForce. Daar zou de schade ophouden, zegt Okta. "Dit geeft geen god-like-toegang tot gebruikersdata", zegt het bedrijf, een directe tegenspraak van wat de Lapsus$-hackers claimen. Okta stelt dat een klantenservicemedewerker niet bij databases kan, geen toegang heeft tot broncode en geen gebruikers kan aanmaken of verwijderen. Overigens zegt Okta nergens of de klantenservicemedewerker de inloggegevens van gebruikersaccounts kon resetten of niet. Lapsus$ beweert van wel.
/i/2004999262.png?f=imagenormal)
Okta droeg Sykes direct op een onderzoek te starten, maar de tijdlijn tussen de ontdekking van de inbraak tot aan de publieke melding laat grote gaten zien waarin niets gebeurde. Zo besteedde Sykes het onderzoek weer uit aan een forensisch bedrijf. Daardoor duurde het tot 28 februari voordat het onderzoek werd afgerond, maar het rapport kwam pas op 10 maart bij Sykes terecht en pas op 17 maart bij Okta zelf. Dat deed er vervolgens niets mee, totdat de screenshots van Lapsus$ online verschenen. Chief security officer David Bradbury van Okta zegt 'zeer teleurgesteld' te zijn over die planning en het bedrijf biedt er inmiddels zijn excuses voor aan. Het 'had eerder moeten handelen' nadat het het eindrapport kreeg, zegt Bradbury.
Wat zijn de (potentiële) gevolgen van deze hack?
Op het eerste gezicht lijken de mogelijke gevolgen groot te zijn. Okta is een groot bedrijf met veel grote klanten en regelt voor hen bovendien een cruciaal proces: authenticatie. Tel daarbij op dat de meeste Okta-producten cloud-based zijn en je hebt een cocktail van ellende voor klanten. Het incident is vergelijkbaar met eerdere hacks op managed service providers, zoals de hacks op Kaseya en SolarWinds.
Tot nu toe lijken grote gevolgen uit te blijven, of beter gezegd: er is nog geen bewijs voor. Sinds de hack in januari plaatsvond, heeft Lapsus$ andere bedrijven gehackt, maar er is nog geen link gelegd tussen die aanvallen en deze. Ook over deze aanval zelf is nog veel onduidelijk. Zo is nog onbekend wat precies de omvang is van wat Lapsus$ heeft gevonden.
Okta zegt zelf dat 'een klein percentage van zijn klanten potentieel getroffen is'. Het zou gaan om 'ongeveer 2,5 procent' van alle klanten. Met een totaal klantenbestand van 15.000 klanten zouden dan alsnog zo'n 375 bedrijven zijn getroffen. Of, specifieker: 366. Dat is het aantal toegangsaanvragen die via de onderaannemer werden aangevraagd op de SuperUser-applicatie die de hackers claimen te hebben overgenomen. In totaal zouden werknemers van die aannemer bij de gegevens van 366 klanten zijn gekomen.
Okta zei eerder 50 miljard gebruikersaccounts te hebben
Die slachtoffers hebben bovendien tientallen, zo niet honderden gebruikersaccounts die worden beheerd via de Okta-systemen. Het bedrijf schreef eerder nog in een whitepaper dat het in totaal meer dan 50 miljard gebruikeraccounts telt. Ook hebben die bedrijven in sommige gevallen weer hun eigen klanten. Feit blijft dat niet duidelijk is met hoeveel van die bedrijven en accounts Lapsus$ iets kan doen.
Evenmin is duidelijk of de bedrijven die door Sykes-werknemers zijn benaderd, de enige potentiële slachtoffers zijn. Als het klopt dat Okta AWS-keys in Slack had staan en de groep toegang tot inboxen had, is het niet ondenkbaar dat de hackers op termijn ook andere manieren kunnen vinden om bij klantgegevens te komen. Okta's schatting van het aantal slachtoffers is dus gebaseerd op een steekproef van het aantal werknemers dat na de hack toegang heeft opgevraagd tot een portal, en niet op telemetrie of logs. De werkelijke gevolgen zijn dus nog zeker niet vast te stellen.
Wat is de hackergroep Lapsus$?
De gevolgen zijn ook beperkt doordat Lapsus$ meestal niet erg geraffineerd te werk gaat. De groep lijkt vooral ergens te infiltreren en snel te willen scoren, maar de gevolgen zijn vaak kleiner dan je zou verwachten. De groep zei bijvoorbeeld Microsoft te hebben gehackt. Dat bedrijf bevestigde dat woensdagochtend. De buit? De broncode van zoekmachine Bing en slimme assistent Cortana. Dat is hooguit wat concurrentiegevoelige informatie, maar geen groot beveiligingsprobleem.
Lapsus$ is een wat vreemde hackergroep. De club lijkt op sommige punten goed georganiseerd te zijn - verschillende leden zijn momenteel 'met vakantie', blijkt uit een Telegram-bericht - maar lijkt weer minder professioneel te werk te gaan dan bijvoorbeeld veel ransomwaregroeperingen. Wat weten we eigenlijk over Lapsus$?
Lapsus$ kwam pas rond december in beeld. Dat gebeurde bij een hack op de Braziliaanse politie en daarna op het ministerie van Volksgezondheid in het land. Later richtte Lapsus$ zich ook op andere Braziliaanse, maar ook Portugese instanties en bedrijven. Nog later volgden onder andere een aanval op de Britse tak van Vodafone en aanvallen op twee Zuid-Amerikaanse telecomproviders. Bij die aanvallen vielen vooral de joligheid en activiteit op sociale media als Telegram en Twitter op. De groep vroeg gebruikers via een poll welke informatie ze zou moeten laten uitlekken en bij een aanval op een Braziliaanse autoverhuurder werden websitebezoekers doorgestuurd naar een pornosite. De groep heeft verder ook geen website of forum op het darkweb, zoals de meeste ransomwaregroepen hebben. In plaats daarvan laat Lapsus$ zich vooral zien via Telegram.
De groep viel bij het grote publiek op na twee prominente hacks. Begin maart liet ze broncode van Nvidia uitlekken en later van Samsung. Bij die eerste liet Lapsus$ 19GB aan data van onder andere de broncode van deeplearningtechnologie uitlekken. Bij Samsung zouden de criminelen 190GB aan data hebben laten uitlekken, onder meer broncode van bootloaders van telefoons. Die incidenten kwamen begin dit jaar naar buiten, maar het is niet duidelijk of ze verband houden met de hack op Okta.
/i/2004963034.png?f=imagegallery)
Die prominente voorbeelden geven de vreemde dualiteit van de groep aan. Want het mag dan om grote bedrijven en een flinke buit gaan, Lapsus$ lijkt er weinig mee te verdienen. Dat gaat in tegen alles wat professionele ransomwarebendes en cybercriminelen in de afgelopen jaren zijn gaan doen: goed voorbereide campagnes uitvoeren, data stelen en versleutelen, daarna afpersen. Lapsus$ doet dat niet. De groep steelt data, maar er zijn geen aanwijzingen dat ze die versleutelt. Evenmin zijn er gevallen bekend waarbij ze geld vraagt om de gestolen data niet openbaar te maken. Ze gooit die gewoon online.
Cybersecurityexperts tasten tegenover Wired ook in het duister omtrent de motieven van de groep. Die lijkt niet uit te zijn op geld, maar vooral op de credits. Ze schept erover op op sociale media, maar daar blijft het bij. De hacks lijken ook chaotisch te verlopen. Zo viel het bedrijf Ubisoft aan. De servers van verschillende games waren toen tijdelijk uitgeschakeld, meldde de uitgever.
Dat maakt Lapsus$ ongrijpbaar. Er is bijvoorbeeld moeilijk te onderhandelen met criminelen die geen geld willen. Experts denken dat de groep nog jong is en daardoor weinig ervaring heeft in cybercrime. Ook speculeren ze dat de groep eerder een los collectief is zonder stevige organisatiestructuur, zoals dat wel het geval is bij veel ransomwaregroepen die in de laatste jaren steeds professioneler zijn geworden. Sinds donderdagochtend zijn er aanwijzingen dat de leider van de groep een zestienjarige Brit is, maar dat is nog onbevestigd. Het feit dat de groep al is geïnfiltreerd in zulke grote bedrijven, is echter een veeg teken voor de toekomst.
:strip_exif()/i/2004999070.jpeg?f=fpa)
/i/2004071452.png?f=fpa)
:strip_exif()/i/2005763768.jpeg?f=fpa)
:strip_exif()/i/2005568452.jpeg?f=fpa)
:strip_exif()/i/2004648164.jpeg?f=fpa)
:strip_exif()/i/2004648158.jpeg?f=fpa)
/i/2004692394.png?f=fpa)
/i/2004618418.png?f=fpa)
/i/2004634812.png?f=fpa)
:strip_exif()/i/2004648156.jpeg?f=fpa)
:strip_exif()/i/2005009114.jpeg?f=fpa)
/i/2001841111.png?f=fpa)
:strip_exif()/i/2004607446.jpeg?f=fpa)
:strip_exif()/i/2004607492.jpeg?f=fpa)
:strip_exif()/i/2004648162.jpeg?f=fpa)
:strip_exif()/u/88361/crop637e1584cc7e0_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/449308/autowp_ru_scania_logo_60.jpg?f=community){kind=logo}
:strip_exif()/u/292617/crop660050ad965a0_cropped.gif?f=community){kind=small}
/u/7909/crop64ea0de8a6e55_cropped.png?f=community){kind=small}