Okta Security musste eine weitere erfolgreiche Cyberattacke auf seine Systeme eingestehen. Allerdings sollen dieses mal nur eine kleine Gruppe Nutzer betroffen gewesen sein und es gäbe keine Datenabflüsse zu vermelden.
Okta Security vermeldet eine gegnerische Aktivität identifiziert zu haben, die mit gestohlenen Zugangsdaten auf das Support-Fallverwaltungssystem von Okta zugegriffen hat. Nach den ersten Darstellungen soll die Attacke aber wesentlich geringer ausgefallen sein als im Mai 2022 die Hackergruppe Lapsus$ ihren Weg über den Laptop eines Technikers eines Drittanbieter in das Okta Netzwerk fand.
Kurz im Netz oder doch seit Wochen?
Während Octa berichtet, dass die Angreifer nur kurz und einen ungefährlichen Zugriff auf das Netzwerk hatten berichtet das Portal Krebs on Security, dass die Angreifer mindestens zwei Wochen lang Zugriff auf die Kundendienst-Plattform Octa hatten, bevor das Unternehmen den Einbruch bemerkt und gestoppt hat.
Okta selbst berichtet das so: „Okta Security hat gegnerische Aktivitäten identifiziert, die den Zugriff auf gestohlene Zugangsdaten nutzten, um auf das Support-Fallverwaltungssystem von Okta zuzugreifen. Der Bedrohungsakteur konnte Dateien einsehen, die von bestimmten Okta-Kunden im Rahmen aktueller Supportfälle hochgeladen wurden. Es ist zu beachten, dass das Support-Fallmanagementsystem von Okta vom Okta-Produktionsdienst getrennt ist, der voll funktionsfähig ist und nicht beeinträchtigt wurde. Darüber hinaus ist das Fallverwaltungssystem Auth0/CIC von diesem Vorfall nicht betroffen.“
Betroffene Octa-Kunden benachrichtigt
Laut Octa wurden alle betroffenen Kunden benachrichtigt. Im Rahmen des normalen Geschäftsbetriebs fordert der Okta-Support Kunden auf, eine HTTP-Archivdatei (HAR) hochzuladen , die eine Fehlerbehebung durch Nachbildung der Browseraktivität ermöglicht. HAR-Dateien können auch vertrauliche Daten enthalten, einschließlich Cookies und Sitzungstoken, die böswillige Akteure verwenden können, um sich als gültige Benutzer auszugeben. Okta hat mit betroffenen Kunden zusammengearbeitet, um Nachforschungen anzustellen, und Maßnahmen zum Schutz der Kunden zu ergreiffen, einschließlich der Sperrung eingebetteter Sitzungstoken. Im Allgemeinen empfiehlt Okta, alle Anmeldeinformationen und Cookies/Sitzungstokens in einer HAR-Datei zu bereinigen, bevor sie freigegeben wird.
Mehr bei Okta.com