Am 22. März 2022 tauchten im Internet Informationen über die Kompromittierung der Identität der Okta-Plattform durch die Hackergruppe Lapsus$ auf. Sie steckt auch hinter den jüngsten Angriffen auf Samsung und Nvidia. Die Lapsus$-Gruppe auf Twitter hat Screenshots aus dem Okta-Admin-Portal von verschiedenen Kunden gepostet – z.B. vom Mieter von Cloudflare. Dem Reuters-Bericht und der anschließenden Antwort von Okta zufolge scheint es sich jedoch um einen früheren Vorfall vom Januar dieses Jahres zu handeln, als der Computer eines für Okta tätigen externen Supporttechnikers kompromittiert und missbraucht wurde. Innerhalb kürzester Zeit griffen die weniger gut informierten Medien dies auf, und die Sensationslust schwoll an, siehe z. B. den Artikel „Lawineneffekt kommt, Daten von zehn Millionen Menschen sind in Gefahr“. Hacker griffen Identitätsmanager an“ auf Novinky.cz. Am selben Tag informierte uns Okta über einen Partnerkanal über den Vorfall und erklärte, dass es sich in der Tat um eine zwei Monate alte Angelegenheit handele und es keinen Grund zur Sorge oder zu Vorsichtsmaßnahmen gebe.
Als Partner, Lieferant und Kunde von Okta haben wir diesen kurzen Artikel vorbereitet, um die Art des Vorfalls, die Auswirkungen und die mögliche Migration zusammenzufassen. Eine ausführliche Beschreibung des Vorfalls und der Hintergründe durch einen Ingenieur des Okta-Sicherheitsteams finden Sie unter Oktas Untersuchung der Kompromittierung vom Januar 2022
Mechanismus und Auswirkungen des Angriffs
Okta setzt für einige Tätigkeiten Subunternehmer ein, z. B. für den Kundensupport, deren technische Mitarbeiter dann die Möglichkeit erhalten, sich mit ihrem Okta-Konto bei den Kundenmietern anzumelden, die sie gerade betreuen. Diese Anmeldungen sind von Natur aus eingeschränkt, z. B. können sie keine Benutzer anlegen oder löschen, keine Daten herunterladen usw.
Im Januar 2022 übernahm ein solcher Sitel-Subunternehmer die Kontrolle über das Gerät eines Administrators, indem er die klassische und primitive Methode des RDP-Zugriffs (Remote-Desktop) auf seine Station nutzte. Nachdem sie die Kontrolle über die Station übernommen hatten, konnten die Angreifer auch versuchen, sein Okta-Login zu verwenden. Innerhalb weniger Tage bemerkte das Sicherheitsteam von Okta einen Versuch, dem kompromittierten Konto einen weiteren Faktor hinzuzufügen (nämlich das Kennwort), woraufhin Okta das Konto sperrte und Sitel über verdächtige Aktivitäten im Netzwerk informierte. Die anschließende Untersuchung von Sitel wurde erst im März abgeschlossen. In der Zwischenzeit stellte Okta fest, dass während der fünf Tage, in denen das Gerät kompromittiert wurde, das fragliche Konto den Zugang zu 375 Mietern von insgesamt etwa 15.000 Kunden oder 2,5 % eingeschränkt hatte. Eine anschließende Analyse der Protokolle dieser Mieter ergab keine verdächtigen Aktivitäten, was vermutlich darauf zurückzuführen ist, dass sie sich nicht über den zweiten Faktor anmelden konnten. Dennoch wurden diese Kunden kontaktiert und erhielten Berichte über ihre Aktivitäten während des inkriminierten Zeitraums.
Die Gruppe Lapsus$, die hinter dem Einbruch stand, versuchte offenbar, angesichts des Scheiterns ihres eigenen Hacks ihre Position in den Medien zumindest in Bezug auf das Marketing zu stärken, und veröffentlichte mit zweimonatiger Verspätung Screenshots des kontrollierten Senders, die keine Hinweise auf bösartiges Verhalten enthalten.
Schlussfolgerung
Es gibt keinen Grund, in Panik zu verfallen oder gar das Vertrauen in die Okta-Lösung zu verlieren. Im Gegenteil: Die Sicherheitsstandards von Okta haben dazu geführt, dass der Vorfall von einer anderen Organisation entdeckt und seine Auswirkungen minimiert werden konnten. Die Kommunikation über den Vorfall verlief jedoch nicht so, wie sie hätte verlaufen sollen. Okta hat unterschätzt, was die heutigen Medien aus einem relativ gewöhnlichen Szenario machen können.
Wenn Sie Okta-Kunde sind und nicht von Okta kontaktiert und informiert wurden, können Sie beruhigt sein – Ihr Mieter ist von diesem Vorfall in keiner Weise betroffen, und dies gilt auch für alle Okta-Kunden von System4.
Empfehlungen für Kunden
Wenn Sie immer noch etwas paranoid sind, können Sie diese Empfehlungen von uns befolgen, die allgemein gültig sind:
- Durchsuchen Sie das Protokoll nach zurückgesetzten Passwörtern und MFAs seit Anfang des Jahres und überlegen Sie, ob Sie die Passwörter dieser Benutzer ändern sollten.
- Deaktivieren Sie die Einstellungen für Sicherheitsfragen und die Möglichkeit, diese zum Zurücksetzen von Passwörtern/MFA zu verwenden.
- Begrenzung der MFA-/Passwortrücksetzkanäle, Verkürzung der Gültigkeit von Rücksetzcodes
- Aktivieren Sie E-Mail-Benachrichtigungen für Benutzer, wenn sie sich von neuen Geräten aus anmelden / Passwort zurücksetzen / MFA
- Erzwingen Sie MFA für die Anmeldung bei allen Anwendungen und legen Sie nur sichere Faktoren fest (deaktivieren Sie Mail, SMS, Sprache usw.).
- Verkürzung der Sitzungsdauer in Authentifizierungsrichtlinien
- Automatische Sperrung von inaktiven Benutzerkonten einrichten
- Begrenzung der Anzahl der Administratoren in Okta
Für die Zukunft empfehlen wir die passwortlose Authentifizierung mit Adaptive MFA.