Datalek Okta trof alle klanten die support zochten, naam en e-mailadres gestolen

Het datalek dat het authenticatieplatform Okta eind september trof, heeft tevens betrekking op alle klanten die van de supportfunctie van het bedrijf gebruikmaakten. Eerder werd naar buiten gebracht dat het slechts om een beperkte groep klanten ging.

Cfo David Bradbury schrijft in een blogpost dat er nieuwe ontdekkingen zijn gedaan sinds de openbaring van het datalek begin november. Uit verder onderzoek zou zijn gebleken dat daarnaast alle klanten die gebruik hebben gemaakt van Okta-support slachtoffer van de cyberaanval zijn. In eerste instantie zou het om 134 klanten gaan, maar nu meldt het authenticatieplatform dat ook alle gebruikers van de supportsystemen getroffen zijn, al is niet bekend om hoeveel klanten het dan gaat.

Het bedrijf zegt tegenover Tweakers dat er nog een digitaal forensisch onderzoek loopt en dat de bevindingen hiervan na voltooiing gedeeld worden. Okta belooft getroffenen in te lichten. De twee aanvallen vonden gelijktijdig plaats en zijn volgens een woordvoerder van het bedrijf door dezelfde threat actor gepleegd.

Het platform laat weten dat er in principe verschillende gevoelige gebruikersgegevens opgenomen zijn in het supportsysteem, waaronder namen, e-mailadressen, telefoonnummers, functiebeschrijvingen en wachtwoorden. In de praktijk zou daarentegen blijken dat 99,6 procent van alle klanten alleen met een naam en e-mailadres in de database staan. Desondanks raadt het platform gebruikers aan om tweestapsverificatie in te schakelen en waakzaam te zijn voor phishing- en socialengineeringaanvallen.

Okta is een authenticatieplatform dat door bedrijven gebruikt wordt om werknemers te authentiseren voordat zij toegang krijgen tot interne systemen. Het datalek werd veroorzaakt door een werknemer van het bedrijf, die op een laptop van Okta inlogde met een eigen Google-account dat later gehackt werd. De zakelijke inloggegevens van Okta waren daarmee opgeslagen in het persoonlijke Google-account van de medewerker in kwestie.

Update, 15.00 uur: Er is na toelichting van een woordvoerder van Okta extra informatie toegevoegd over de cyberaanval.

Reacties (39)

kiddingguy 29 november 2023 14:51

Ik blijf het vreemd vinden dit alles:
(mega) groot datalek, doen ze aangifte bij AP. Zeggen ze "sorry". Misschien een -kleine- boete en weer over tot de orde van de dag.

MAAR... alle gedupeerden zitten wel met het feit dat hun persoonlijke data voor een grabbel te koop is, gespamd worden en, worst case, financieel gedupeerd.

Er zou m.i. toch echt een soort van regeling/wet moeten komen die de getroffenen flink compenseert met een groot bedrag. Ik denk dat alleen dán deze (grote) organisaties security echt serieus gaan nemen, wanneer ze tonnen/miljoenen kwijt [schadevergoeding * aantal gedupeerden] zijn aan (verwijtbaar) falen vanuit hun kant met dergelijke schadevergoedingen.

Iedere week is er wel ergens anders een groot datalek en er wordt m.i. veel te weinig gedaan aan de preventiekant bij organisaties.

hans235 @kiddingguy • 29 november 2023 14:54

dat klinkt inderdaad als een goed idee, maar uiteindelijk komt de rekening bij de eindgebruiker te liggen natuurlijk..

Cis @hans235 • 29 november 2023 15:27

Dat is toch niet erg.
Bedrijven kunnen dan/daarna gaan evalueren welke data ze nou eigenlijk écht van de klant nodig hebben. En in welk systeem die data moet staan.
Als ik ergens een support ticket heb lopen, is in die database enkel mijn klantnummer vereist. De naam, adresgegevens en betaalgegevens mogen elders staan.
Want als ik een vraag heb over een foutmelding op webpagina X, hoeft de supportmedewerker niet te weten wat mijn bankrekeningnummer is. En zelfs als ik mijzelf identificeer als Pietje Pukkie, kan de fout prima worden verholpen.

TL;DR: als je je beveiliging en procedures goed op orde hebt, wordt het mogelijk zelfs goedkoper voor de eindgebruiker ..

[Reactie gewijzigd door Cis op 22 juli 2024 18:23]

Oon

@Cis • 29 november 2023 16:04

Dat is natuurlijk ook de kern van de AVG en GDPR; alleen data opslaan die je kunt verantwoorden.
Ik snap ook echt niet waarom er nog altijd bijvoorbeeld contactformulieren zijn waar je verplicht een telefoonnummer in moet vullen, ik vul altijd 0612345678 in want als ze mijn echte nummer zouden bellen zou ik toch niet opnemen.

Het moet echt een gewoonte worden om alleen een 'naam' (eigen keuze voornaam/achternaam of username) en e-mailadres in te hoeven vullen, of een klantnummer als je een bestaande klant bent, en niet iedere keer je volledige NAW-gegevens, geboortedatums van je kinderen, een vingerafdruk en een foto van je linkerbal om contact te kunnen krijgen met een eerste rij supportmedewerker die je toch nog 4x gaat vragen om meer informatie te geven en je dan doorschuift naar de tweede rij die alsnog je gegevens uit het klantsysteem moet gaan halen.

Mariusjr @Oon • 29 november 2023 16:28

En dan willen ze ook nog je geslacht weten, ik heb eens een keer de vraag gesteld aan zon bedrijf, waarom willen jullie weten of ik een piemel heb of niet?

Geen antwoord.
Maar het zal wel met de aanspreektitel te maken hebben.
Neem dan voorbeeld aan de ns. Hou het algemeen .

Oon

@Mariusjr • 29 november 2023 23:08

Het automatisch vullen van een aanhef is inderdaad 9/10 keer de reden, wat sowieso al belachelijk is. Er zijn genoeg opties om iemand aan te spreken zonder dhr/mw ervoor

Verwijderd @Oon • 29 november 2023 22:13

Maar waarom moet dat perse email zijn? Ik vind dat een bedrijf er prima voor mag kiezen om telefonisch contact op te nemen, dat jij dan niet kiest om met een mens te willen communiceren is natuurlijk jouw keuze maar in vind het dwingen van alles naar email echt bloed irritant. Laat mensen maar weer eens praten met echte mensen, dat doet de maatschappij denk ik ook goed (t.o.v. alles maar via de mail en menscontact schuwen, je moet als mens gewoon durven te praten met mensen of anders daar hulp voor zoeken)

Oon

@Verwijderd • 29 november 2023 23:09

Helemaal prima als beide opties er zijn voor degenen die het graag telefonisch doen, maar ik heb liever gewoon mail.

Wat jouw persoonlijke mening daarover is heb ik gelukkig weinig mee te maken, bellen is voor mij al geen optie, 'terug'gebeld worden door een onbekend nummer al helemaal niet.

DragonSlayer666 @Verwijderd • 30 november 2023 11:37

Ik snap jouw punt helemaal, ik ben ook voorstander van ff snel bellen. Hier zit alleen een hele grote maar aan. Zodra het gaat om garantie, of er worden afspraken gemaakt wil ik het altijd op de mail hebben. Al nemen ze alles op, zodra jij gaat claimen dat iemand X heeft beloofd, zijn ze altijd de opname "kwijt". Vandaar doe ik ook veel via mail zodra er iets afgesproken moet worden.

Niemand_Anders @Cis • 29 november 2023 16:09

Ironisch kiezen bedrijf juist voor bedrijven zoals Okta en OneLogin omdat ze juist zelf niet met deze materie te maken willen hebben.

Wij hebben ook een soort van SSO inlog systeem, maar wij (support) kan alleen als admin inloggen op de systemen van een klant zodra de klant daarvoor toestemming hebben gegeven. Ondanks dat wij admin rechten hebben, kunnen wij niet zomaar inloggen. De klant met bij ons dat er een probleem is in het systeem, vervolgens gaat er een email naar de applicatiebeheerder (meestal een groep) van de klant welke ons toegang kunnen verlenen voor een bepaalde tijd. Die tijd staat standaard op 4 uur, maar dit kunnen zij aanpassen. Ook kunnen zij op elk moment ons de toegang weer uitzeggen. Het is jammer dat Okta niet eenzelfde soort bescherming heeft op hun systemen. Blijkbaar kunnen alle Okta medewerkers zomaar bij alle omgevingen van hun klanten, terwijl dat zelden of nooit nodig is...

GoBieN-Be @Niemand_Anders • 29 november 2023 23:26

Bij Okta was het ook niet zo dat de support zomaar toegang had tot de omgevingen van de klanten.

De hacker heeft kunnen inloggen bij een paar klanten van OKTA omdat die klanten in het kader van een support vraag een browsersessie opgeslagen hadden in een debug file.
Uit die debug file heeft de aanvaller authentication/token cookies kunnen halen en zo kunnen inloggen.

Voor de rest heeft de hacker dus wel PII data uit het support systeem kunnen halen, en nu blijkt van zo goed als alle klanten. Dus dat levert weer mogelijks gerichte phishing aanvallen op.

kiddingguy @Cis • 29 november 2023 16:43

Vraag is: kun je in dit voorbeeld zelfs af met alleen een emailadres (voor login portal)?
Klantnummer hoeft niet eens (wellicht op de achterwel wel 'ergens' gekoppeld).

Inderdaad: minimale gegevens dienen uitgevraagd te worden.

Zyppora @hans235 • 29 november 2023 16:09

Maar die rekening komt toch wel bij de eindgebruiker te liggen, of dat geld nu naar preventieve maatregelen of een boete ging, doet daar niets aan af. Dan liever betalen zonder dat mijn privegegevens ook nog eens op straat liggen.

CamelKnight @kiddingguy • 29 november 2023 16:06

Er zou m.i. toch echt een soort van regeling/wet moeten komen die de getroffenen flink compenseert met een groot bedrag. Ik denk dat alleen dán deze (grote) organisaties security echt serieus gaan nemen, wanneer ze tonnen/miljoenen kwijt [schadevergoeding * aantal gedupeerden] zijn aan (verwijtbaar) falen vanuit hun kant met dergelijke schadevergoedingen.

De grote vraag is wanneer het verwijtbaar falen is. Systemen onvoldoende beveiligd en niet up-to-date is natuurlijk verwijtbaar. Maar als ze ter goeder trouw gebruik maken van beveiligingssoftware waarin een zero day lek gevonden wordt waardoor zij gehackt worden, zijn zij dan aansprakelijk of is de maker van de beveiligingssoftware dat?
Nog los daarvan: het is vrijwel altijd de mens die de oorzaak is van een datalek. Ik denk dat je op dit moment niet meer moet denken 'wat als mijn data gelekt wordt' maar 'wanneer mijn data gelekt wordt'. Grote kans dat je data zelfs allang gelekt is, in meer of mindere mate. Bedrijven zijn nou eenmaal eenvoudige prooi voor een stel nerds met meer tijd en kennis om gaten te vinden dan dat je netwerk security heeft om die gaten te vinden, én te dichten. Als bedrijf loop je altijd achter de feiten aan en 100% veilig is gewoon een utopie. De enige manier om je data niet kwijt te raken is door data nooit op te slaan.

kiddingguy @CamelKnight • 29 november 2023 16:47

Uiteindelijk is alles (juridisch) af te kaarten m.b.t. claims, rechtzaken en schadevergoedingen, SLA's etc.

En ja, 100% veiligheidsgarantie krijg je niet, maar in heel veel gevallen is slechte configuratie/inrichtingen, geen updates doorvoeren en 'stom menselijk gedrag/falen' [admin/admin, ww: welkom01 etc] veelal de oorzaak van dit alles.

cariolive23 @kiddingguy • 29 november 2023 16:24

Er zou m.i. toch echt een soort van regeling/wet moeten komen die de getroffenen flink compenseert met een groot bedrag.

Dan gaan ze failliet, krijg de klant geen schadevergoeding en is de dienst die werd geleverd ook nog eens weg. Stapt de klant over naar een andere leverancier, is er nog steeds geen garantie dat het daar wél veilig is en blijft.

Stel directie persoonlijk aansprakelijk voor grove, vooraf gedefinieerde, fouten. Dan kan het bedrijf ergens z'n schade verhalen.

Overigens kom ik nog minstens 1x per maand mogelijkheden tot SQL injectie tegen... Programmeurs, kuch, die dat anno 2023 nog mogelijk maken, zouden ook op staande voet moeten worden ontslagen.

kiddingguy @cariolive23 • 29 november 2023 16:44

Naja, dan is dat maar. Een of twee voorbeelden en de rest ziet ook dat het nu serieuze zaak is.
Belachelijk dat gegevens te pas en te onpas op straat komen te liggen, met als ultimo dupe-persoon de consument.

En hoe de organisatie dit dat (intern) regelt door aansprakelijkheid op top-level te leggen, is aan hen.

cariolive23 @kiddingguy • 29 november 2023 17:54

Uiteraard is het niet prettig dat jouw gegevens op straat komen te liggen. Maar aan de andere kant, maak jij in jouw werk nooit een fout? Maar dan ook echt helemaal nooit.

Mocht je Ja zeggen, dan werk je niet of lieg je. Mensen maken nu eenmaal fouten, dus ook jij en ik. Sommige fouten hebben nu eenmaal een grote impact.

Er zijn echter ook fouten die gewoon niet mogen gebeuren, zoals SQL injection. Wanneer je anno 2023 als programmeur niet weet wat dat is, ben je gewoon ongekwalificeerd voor je werk. Ontslag op staande voet is dan de enige oplossing om te voorkomen dat het nog een keer gebeurd.

kiddingguy @cariolive23 • 29 november 2023 19:16

Natuurlijk kunnen mensen fouten maken.

De impact daarentegen van lekken wordt veelal onderschat. En ook welke (privé) gevolgen dit kan hebben in geval van hacken en lekkende databases.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Cybercrime

@kiddingguy • 29 november 2023 16:38

Er zou m.i. toch echt een soort van regeling/wet moeten komen die de getroffenen flink compenseert met een groot bedrag.

Dan heb ik direct een tegenvraag; hoe maak je objectief inzichtelijk en aantoonbaar dat je daadwerkelijk schade hebt gelopen waar een groot bedrag mee gemoeid is?

kiddingguy @Bor • 29 november 2023 16:54

Als je naam in de gelekte database voorkomt.
Dat zou in principe al voldoende moeten zijn.

Dan heb je al (in)directe schade opgelopen. Dit betekent niet per sé dat je al geript bent, ID-fraude hebt ondergaan, of al >100 spamberichten hebt ontvangen van die Nigeriaanse prins o.i.d.

Je kunt zelfs denken aan bepaalde "niveaus" van datalekken en gegevens die buit gemaakt zijn. Dat is meer de praktische invoering ervan.

voorbeeld:
level 1 (minst erg): € 5000 per geval/account
level 2 (mid): €75000 per geval
level 3 (hoog): €10000 per geval

En wanneer een database van 5000 accounts gehacked is; is de totale kostenpost voor organisatie X in geval van ernstig (level 3) in dit geval: 5000 * €10000 = €50.000.000

Dit soort bedragen lijkt mij wel voldoende af te schrikken om je zaakjes goed op orde te hebben!

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Cybercrime

@kiddingguy • 29 november 2023 17:13

Als je naam in de gelekte database voorkomt.
Dat zou in principe al voldoende moeten zijn.

Dan heb je al (in)directe schade opgelopen

En hoe groot is die schade dan dat je denkt dat er direct een flinke compensatie tegenover moet staan met een hoog bedrag? Dat is erg moeilijk hard te maken en mede reden waarom dit soort zaken in Nederland veelal niet op de voorgestelde manier werken.

[Reactie gewijzigd door Bor op 22 juli 2024 18:23]

kiddingguy @Bor • 29 november 2023 19:12

De schade per geval dient vastgesteld te worden.
Uiteindelijk zou een gemiddeld bedrag prima als leidend genomen kunnen worden.

cariolive23 @kiddingguy • 29 november 2023 18:04

Een database met 5000 records, zou dat bestaan? De administratie van een loodgieter met een man of 10 in dienst, zal na een paar jaar al gegevens van een 5000 klanten hebben.

Klant waar ik nu zit, heeft een 5 miljoen klanten. 5 miljoen x € 10.000 = 50 miljard. Geen enkel bedrijf in Nederland gaat zo'n boete overleven. Dit is evenveel als het eigen vermogen van de ING, de nummer 36 op de lijst van 's werelds grootste banken. (en die heeft nog veel meer klanten)

[Reactie gewijzigd door cariolive23 op 22 juli 2024 18:23]

kiddingguy @cariolive23 • 29 november 2023 19:14

Bedragen zijn als voorbeeld en hypothetisch.
Zoals aangegeven kan uiteindelijk wel een nummertje hierop geplakt worden.
Wel met voldoende afschrikkende werking. Natuurlijk niet dat 80% van de bedrijven onderuit gaat.

Belangrijkste is bewustwording [is er volgens mij totaal nog niet gezien alle incidenten nog steeds], maar wel met een dusdanig financiële prikkel om er nu echt eens werk van te maken.

cariolive23 @kiddingguy • 29 november 2023 19:21

Bedragen zijn als voorbeeld en hypothetisch.

Nou, het zijn juist hele mooie voorbeelden: Het laat zien dat je geen significant bedrag per record in rekening kunt brengen zonder dat de organisatie failliet gaat. Met een 100 euro per record gaat die loodgieter ook al failliet. En stel dat jij als slachtoffer die volledige 100 euro zou krijgen, zou dat voldoende zijn om jouw schade te dekken? (aangenomen dat jij slachtoffer wordt van een succesvolle aanval n.a.v. de data die is verkregen) Nee natuurlijk niet, 100 euro is gewoon niets. Maar zelfs die 100 euro krijg je niet, want dat is teveel voor zo'n bedrijf. Dan een tientje? Dat kunnen ze betalen zonder failliet te gaan, maar word je daar vrolijk van? Je wordt slachtoffer van cybercrime en vervolgens belachelijk gemaakt met een schadevergoeding van een tientje...

kiddingguy @cariolive23 • 29 november 2023 21:22

Als de “loodgieter” zijn/haar boeltje op orde had, was er waarschijnlijk niets aan de hand.
Of hij/zij zou het bij een andere partij moeten kunnen claimen als hij/zij niets verkeerd heeft gedaan.

Het gaat om de afschrikkende werking en dat de slachtoffers gecompenseerd worden.

cariolive23 @kiddingguy • 29 november 2023 22:06

Dan de boetes voor te hard rijden ook maar omhoog, 1000 euro per om te hard. Hard rijden zorgt voor meer verkeersdoden en te hard rijden is een eigen keuze.

William_H @cariolive23 • 29 november 2023 20:05

Daar bestaan gewoon verzekeringen voor. Die zullen geen miljarden uitkeren, maar wel miljoenen als het nodig is.

_Thanatos_ @kiddingguy • 29 november 2023 16:45

Het is te moeilijk om zoiets te kwantificeren in een schadevergoeding. In de US kun je een miljoenmiljard eisen maar hier werkt dat niet zo. Je moet kunnen onderbouwen dat een schadevergoeding dekkend is voor wat er gebeurd is.

Dit voor iedere gebruiker doen is onbegonnen werk.

Bovendien lijkt me dat je ook niet een boete kunt opleggen die een bedrijf in een financiele put flikkert. Maar buiten dat, hoe verdeel je de boete? Dat gaat niet, omdat je niet kunt onderbouwen hoeveel naar wie moet gaan.

kiddingguy @_Thanatos_ • 29 november 2023 17:01

Vaste bedragen per 'issue'/account [zie bijvoorbeeld mijn voorbeeld-bedragen]

Een bedrijf moet zijn zaakjes op orde hebben. Dat dit financiele consequenties heeft wanneer honderderden klantgegevens op straat liggen, lijkt mij dan duidelijk.

Er zijn al cyber-verzekeringen. Wellicht dat dit ook door een verzekeringsmaatschappij aangeboden kan worden.

En... over de bedragen valt te steggelen. Het gaat er mij om dat er veel meer bewustwording moet zijn bij bedrijven dat zijn externe klantdata hebben en hier goed, veilig & betrouwbaar mee om moeten gaan. En in heel veel gevallen gebeurt dit simpelweg niet.

Het 'enige' wat er dan gebeurt is dat organisatie A een melding bij AP maakt, ze zeggen "sorry", AP zegt "foei", met misschien een boete [die de ellende totaal niet dekt, en een lachertje is m.i.], het lek wordt gedicht en volgende week gebeurt het weer bij een ander bedrijf [of zelfs een paar maanden later weer bij org. A, en er dus niets geleerd is].

Quintiemero @kiddingguy • 29 november 2023 16:49

En wat is de precieze schade?

MPAnnihilator @Quintiemero • 29 november 2023 19:24

een forfaitaire som / unieke gebruiker voor het feit dat men gewoon lomp is geweest zou al niet slecht zijn...
gedaan met die zever dat je de schade moet kunnen aantonen.

R4gnax

Datalek
Privacy

@kiddingguy • 29 november 2023 21:32

Er zou m.i. toch echt een soort van regeling/wet moeten komen die de getroffenen flink compenseert met een groot bedrag.

Dat werkt niet, want je kunt de schade vooraf niet kwantificeren dus je zult tegenwerking krijgen van elk rechtsorgaan dat er is. Wat misschien wel zou werken is een centrale overheidsregistratie van iedereen wiens gegevens ooit gelekt of gehackt zijn, en door welke partijen.

En bij het afsluiten van high-risk zaken zoals bankrekening; lening; verzekering; telefoon-abo; etc. een verplichte check tegen die registratie. En als je daar in staat, is er eerst verder onderzoek nodig 'of jij het wel echt bent'. En de kosten daarvoor - gemaakt door zowel het bedrijf als jijzelf? Verhalen op de bedrijven in kwestie die bij jouw naam geregistreerd zijn.
Zelfde met bijv. politieonderzoek; incasso's; etc. Allemaal verplicht langs die registratie halen, en bij een rood vlaggetje eerst extra onderzoek en de kosten verhalen op de partijen die het er naar gemaakt hebben.

Dat kan mooi door een staatsautoriteit of andere vorm van aangestelde organisatie* geregeld worden. Die kunnen de partijen in kwestie vergoeden en vervolgens volgens een verdeelsleutel gaan verhalen op en innen bij de boosdoeners.

(* Hey kijk; hebben Tim Kuik en co. anno 2024 weer eens iets te doen wat binnen de algemeen heersende mores wel bij iedereen door de beugel kan.

)

[Reactie gewijzigd door R4gnax op 22 juli 2024 18:23]

CPV 29 november 2023 14:18

alle klanten die van de supportfunctie van het bedrijf gebruikmaakten

dat het slechts om een beperkte groep klanten ging

hoeft elkaar niet tegen te spreken als het bedrijf hoge kwaliteit levert.

kiddingguy 30 november 2023 22:44

Nu ook weer Sprinter Sports getroffen door cyberaanval https://www.nu.nl/tech/62...fen-door-cyberaanval.html

Hoe lang kan dit “straffeloos” nog doorgaan?!

J-roenn @sun0000 • 29 november 2023 14:50

Plus de systeembeheerders bij Okta, je kan namelijk doormiddel van policy's Chrome zo instellen dat op de werkplek niet met een privé-account ingelogd kan worden, juist om dit soort zaken te voorkomen.
https://admx.help/?Catego...ies.Chrome::BrowserSignin

William_H @J-roenn • 29 november 2023 20:11

Ik snap niet hoe mensen jouw bijdrage nu met een 0 kunnen waarderen.
Had men bovenstaande bij Okta toegepast, hadden ze niet gehackt geweest. Essentiële toevoeging aan de discussie/artikel wat mij betreft.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (39)

Sorteer op:

Weergave: