Okta-onderzoek: hackers drongen bij slechts twee klanten binnen

De Lapsus$-hackers die in januari securitybedrijf Okta aanvielen, wisten bij slechts twee klanten binnen te komen. De aanvallers waren 25 minuten in de systemen van het bedrijf en troffen geen 366 klanten zoals eerst werd gedacht.

Okta heeft het onderzoek afgerond naar de hack die in januari plaatsvond en in maart naar buiten kwam. Hackers van de Lapsus$-groep drongen toen via een tussenleverancier binnen bij een onderaannemer van Okta, die singlesign-onsoftware bouwt. Eerder was niet bekend hoeveel klanten er daardoor waren getroffen. Later kwam Okta met de claim dat dat er maximaal 366 waren. Die schatting was gebaseerd op het aantal keer dat werknemers van de onderaannemer een SuperUser-toegangsaanvraag hadden gedaan bij klanten in de periode dat de hack plaatsvond.

Okta heeft het onderzoek naar de hack nu definitief afgerond. De belangrijkste conclusies over de oorspronkelijke infiltratie blijven staan. De hackers kwamen binnen op één laptop van een onderaannemer van Sitel, dat de klantenservice deed namens Okta. De aanval vond plaats op 25 januari. Okta zegt nu dat de hackers in totaal slechts 25 minuten toegang hadden tot de systemen van klanten.

In die 25 minuten zijn de aanvallers binnengedrongen bij twee van die klanten. Wie dat zijn, is niet bekend, maar Okta heeft hen wel op de hoogte gebracht. Volgens Okta hebben de hackers in de klantsystemen geen configuraties gewijzigd en geen wachtwoord- of multifactorauthenticatieresets uitgevoerd.

Okta zegt daarnaast dat de aanvallers toegang hadden tot interne systemen van Okta, waaronder Slack en Jira. Daarbij zouden de aanvallers geen informatie hebben gevonden waarmee ze de systemen verder konden binnenvallen. Okta heeft de samenwerking met de onderaannemer stopgezet en zegt maatregelen door te voeren. Het bedrijf wil een nieuw zerotrustbeleid opzetten, betere communicatie richting klanten en thirdpartytools beter beheren.

Het rapport is niet openbaar. Okta heeft alleen de conclusies gepubliceerd. Een ontbrekend stuk informatie uit het rapport is hoe de aanvallers precies binnendrongen bij de onderaannemer. Techcrunch schreef eerder dat de hackers een spreadsheet met wachtwoorden hadden gevonden, maar de onderaannemer ontkende dat later.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 20-04-2022 11:37 14

20-04-2022 • 11:37

14

Lees meer

Okta-gebruikers met lange gebruikersnaam konden inloggen zonder wachtwoord
Okta-gebruikers met lange gebruikersnaam konden inloggen zonder wachtwoord Nieuws van 3 november 2024
Okta: datalek veroorzaakt door medewerker die inlogde met Google-account
Okta: datalek veroorzaakt door medewerker die inlogde met Google-account Nieuws van 5 november 2023
1Password ontdekt 'verdachte activiteit' op Okta-account na hack bij Okta
1Password ontdekt 'verdachte activiteit' op Okta-account na hack bij Okta Nieuws van 24 oktober 2023
Hackers stelen broncode van Okta via GitHub-repository's
Hackers stelen broncode van Okta via GitHub-repository's Nieuws van 22 december 2022
Brits OM klaagt twee jonge verdachten aan wegens Lapsus$-activiteiten
Brits OM klaagt twee jonge verdachten aan wegens Lapsus$-activiteiten Nieuws van 1 april 2022
Lapsus$-hackers kwamen mogelijk bij Okta binnen via spreadsheet met wachtwoorden
Lapsus$-hackers kwamen mogelijk bij Okta binnen via spreadsheet met wachtwoorden Nieuws van 29 maart 2022
Vijf vragen over de hack op Okta en de mysterieuze Lapsus$-hackergroep
Vijf vragen over de hack op Okta en de mysterieuze Lapsus$-hackergroep Nieuws van 24 maart 2022
Hackergroep Lapsus$ claimt broncode Bing en Cortana te hebben gestolen
Hackergroep Lapsus$ claimt broncode Bing en Cortana te hebben gestolen Nieuws van 22 maart 2022
Singlesign-onplatform Okta begint onderzoek na claims over hack
Singlesign-onplatform Okta begint onderzoek na claims over hack Nieuws van 22 maart 2022
Meer producten en artikelen
Beveiliging en antivirus Hackers Okta

Reacties (14)

-Moderatie-faq
14
13
8
4
0
4
Wijzig sortering

Sorteer op:

Weergave:
Cergorach
20 april 2022 11:58
Volgens Okta is 2,5 procent van zijn klanten getroffen door de aanval van de hackergroep.
Bron: nieuws: Okta erkent dat klanten zijn getroffen door aanval van Lapsus$

Klopt dan niet, zeker niet als het originele artikel spreekt over:
After a thorough analysis of these claims, we have concluded that a small percentage of customers – approximately 2.5% – have potentially been impacted and whose data may have been viewed or acted upon.
Bron: https://www.okta.com/blog...okta-statement-on-lapsus/

Dat ene woordje maakt een wereld van verschil!
RRX @Huugje20 april 2022 13:36
Het lijkt mij dat tweakers met terugwerkende kracht daar een rectificatie kan neerzetten. Nauwkeurig overnemen van informatie is wel erg belangrijk en deze nuance kan wel een groot verschil opleveren in hoe het geïnterpreteerd wordt.
pvnzoest 20 april 2022 15:03
Ja ik krijg hier vast een boel minnetjes voor..
Maar tweakers, whats going on..

Tegenwoordig lees ik vaker en vaker (tech) berichten op andere normale nieuws sites ruim voordat ze op tweakers komen te staan.

Dat zorgt er ook voor dat (in mijn geval iig) ik veel minder op tweakers zit. Dit vooral omdat "ik heb het nieuws toch al gelezen".


Dit bericht dus ook als voorbeeld:
https://www.nu.nl/tech/61...ee-klanten-getroffen.html
19-4 15:27 uur.

Hier 20-4 11:37 uur.


Vroeger (ja ik voel mij nu echt oud) las je 99% van het tech nieuws het eerst op tweakers..
Tegenwoordig is dat (na mijn gevoel iig) <50%.
Stijnvi @pvnzoest20 april 2022 19:27
Ik begin het helaas ook steeds meer te merken
Het is best jammer dat Tweakers vaak niet meer geheel up to date is en soms dagen achterloopt met nieuws
Dat haalt de waarde van Tweakers als nieuwsbron toch wat naar beneden
CAPSLOCK2000
20 april 2022 11:50
Openheid geven is het beste dat Okta kan doen. Als security bedrijf toe moeten geven dat je gekraakt bent is natuurlijk geen goed beurt in een industrie die grotendeels draait op vertrouwen en onderbuikgevoelens.

In principe snapt iedereen dat er overal wel eens iets mis gaat, ook bij een security bedrijf. Zoals wel vaker is het minstens zo belangrijk hoe er met fouten wordt omgegaan als wat er wordt gedaan om fouten te voorkomen. Okta zal de wereld nu moeten overtuigen dat het alles goed voor elkaar heeft en dat deze hack een incident was en geen teken van structureel gebrekkige beveiliging.

Ze maken het zichzelf niet makkelijk door niet te vertellen hoe ze binnen zijn gekomen maar waarschijnlijk is dat om de persoon te beschermen die een fout heeft gemaakt. Die persoon alle schuld geven is waarschijnlijk oneerlijk omdat een enekel fout niet tot een hack zou moeten leiden. Dat is natuurlijk makkelijke gezegd dan gedaan, maar feit is dat je rekening moet houden met menselijke fouten. Een ontwerp dat uitgaat van foutloze mensen is gewoon dom, daar moet je de medewerker niet op aankijken.
lenwar
@CAPSLOCK200020 april 2022 12:08
Helemaal met je eens. Er is natuurlijk een kans dat het ook een cultureel ding is. Hebben Amerikaanse bedrijven niet nog steeds heel erg de houding dat zij vooral geen fouten willen toegeven, proberen recht te praten, enz. enz. enz.

Echter :)

In het gelinkte document staan onder andere een 'lessons learned' sectie, waarvan ik oprecht verbaasd ben dat ze dat niet al sinds dag één hadden geïmplementeerd. Het voelt zelfs heel erg als inkoppers. Zeker als bedrijf wiens product 'beveiliging' is. (Bijvoorbeeld een supportmedewerker die daadwerkelijk bij de systemen van de klanten kan voelt al niet echt 'de bedoeling')
1. Third-party risk management:

Okta is strengthening our audit procedures of our sub-processors and will confirm they comply with our new security requirements. We will require that sub-processors who provide Support Services on Okta's behalf adopt “Zero Trust” security architectures and that they authenticate via Okta’s IDAM solution for all workplace applications.
Okta has terminated its relationship with Sykes/Sitel.
2. Access to customer support systems:

Okta will now directly manage all devices of third parties that access our customer support tools, providing the necessary visibility to effectively respond to security incidents without relying on a third party. This will enable us to significantly reduce response times and report to customers with greater certainty on actual impact, rather than potential impact.
We are making further modifications to our customer support tool to restrictively limit what information a technical support engineer can view. These changes also provide greater transparency about when this tool is used in customer admin consoles (via System Log).
...
willieverhoef @lenwar20 april 2022 12:42
mis dat ze zelf 2fa moeten gebruiken. Want dan lijkt het mij dat het niet kon gebeuren.
lenwar
@willieverhoef20 april 2022 13:07
Iedere mfa-oplossing is alleen maar zinvol als het aan de achterkant op de juiste manier wordt afgedwongen. mfa is, versimpeld gezegd, onder aan de streep niets meer dan een extra verzoek van de server, maar zeker niet 'de heilige graal'.

Kijk maar op hoeveel plaatsen je een 'apparaat' als 'vertrouwd' kan instellen en dat het daarna niet meer om tweede factor vraagt. (dan is het apparaat dus effectief de extra factor geworden, maar die was nou juist misbruikt).

Zeker als je eenmaal al bent ingelogd en een sessie hebt, voegt MFA niets meer toe aan de beveiliging aangezien je al ingelogd bent. (je hoeft ook niet voor iedere klik op tweakers.net je gegevens niet opnieuw in te kloppen. Als iemand via malware mijn sessie overneemt, kan iemand anders prima op tweakers.net posten namens mij, zolang ik niet ingelogd ben.)

Onder aan de streep zie je vaak, dat 'accounts (van natuurlijke personen)' of 'apparaten' teveel privileges hebben (met of zonder herauthenticatie).


MFA kan eventueel iets bijdragen, maar het maakt het alleen iets ingewikkelder, en is zeker niet zaligmakend.
batjes @willieverhoef20 april 2022 15:18
Hadden hackers laatst niet ergens ingebroken door meerdere MFA requests te versturen die uiteindelijk door een gebruiker midden in de nacht maar goedgekeurd werden, om van die notificaties af te zijn?

MFA is niet direct heilig qua veiligheid.
mjtdevries @batjes20 april 2022 16:28
Het is nog steeds een grote extra drempel die je opwerpt.
Als hacker kun je er niet vanuit gaan dat veel gebruikers zo ongelooflijk dom zijn dat ze die verzoeken maar goedkeuren om er vanaf te zijn. De meerderheid zal juist IT security waarschuwen dat ze rare verzoeken zien en dat is precies wat een hacker niet wil.
lucade2210 20 april 2022 11:43
Dat zijn er twee teveel
Cergorach
@lucade221020 april 2022 11:55
Ja en nee. Denken dat er nooit iemand bij je bedrijf inbreekt (fysiek) is onrealistisch. Hoe ver men komt, waar ze dan toegang tot hebben, of het wordt opgemerkt, hoe snel, waar ze mee wegkomen, etc. Zijn allemaal veel belangrijkere zaken om je mee bezig te houden. Datzelfde geld ook gewoon voor de IT...
De Vliegmieren 20 april 2022 18:58
Okta zegt nu dat de hackers in totaal slechts 25 minuten toegang hadden tot de systemen van klanten
Als we de bron bekijken zeggen ze:
During that limited window of time, the threat actor accessed two active customer tenants within the SuperUser application (whom we have separately notified)
Dan lijkt de interpretatie van tweakers niet per sé overeen te komen met de bron. Zoals al eerder door Okta uitgelegd, is superuser een frontend voor het uitvoeren van bepaalde support taken. Het lijkt me dus (heel) sterk dat de aanvallers 'toegang hadden tot systemen van klanten'. Het lijkt me waarschijnlijker dat ze configuratie informatie hebben kunnen uitlezen van de Okta instantie van de desbetreffende klanten. Daarbij houd ik nog een slag om de arm, want 'accessed' is een nogal ruim interpreteerbaar woord.

[Reactie gewijzigd door De Vliegmieren op 24 juli 2024 06:06]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq