Okta meldet Sicherheitslücke durch gestohlene Zugangsdaten

Angreifer verschaffen sich Zugang zu Kundendaten

Okta, ein führendes Unternehmen für Identitätsmanagement und Authentifizierung, hat eine Sicherheitsverletzung bekannt gegeben, bei der sich Angreifer mit gestohlenen Zugangsdaten Zugang zu seinem Support-Management-System verschafft haben. Obwohl die Sicherheitsverletzung keine Auswirkungen auf den Produktionsdienst von Okta hatte, gab sie Anlass zu Bedenken hinsichtlich der Sicherheit der in das Support-System hochgeladenen Kundendaten.

Support-System angegriffen

Laut David Bradbury, Chief Security Officer von Okta, konnten die Angreifer auf Dateien zugreifen, einschließlich Cookies und Sitzungs-Tokens, die von bestimmten Kunden im Rahmen von Support-Fällen hochgeladen wurden. Der Einbruch fand im Support Case Management System statt, das vom Okta-Produktionsdienst getrennt ist.

Mögliche Datengefährdung

Auch wenn genaue Details über die gefährdeten Kundendaten nicht bekannt gegeben wurden, wurde das angegriffene Support-System zur Speicherung von HTTP-Archivdateien (HAR) verwendet. Diese Dateien enthalten sensible Daten wie Cookies und Sitzungs-Token, die von Bedrohungsakteuren ausgenutzt werden könnten, um Kundenkonten zu kompromittieren. HAR-Dateien erfassen Browseraktivitätsdaten, einschließlich besuchter Seiten, Kopfzeilen und anderer relevanter Informationen.

Reaktion und Schadensbegrenzung

Während der Untersuchung des Vorfalls arbeitete Okta eng mit den betroffenen Kunden zusammen, um die Sicherheitsverletzung zu beheben. In freigegebenen HAR-Dateien eingebettete Sitzungs-Tokens wurden widerrufen, um weitere Risiken zu minimieren. Okta rät nun allen Kunden, ihre HAR-Dateien zu bereinigen, bevor sie sie weitergeben, um die versehentliche Offenlegung von Anmeldeinformationen und Sitzungsdaten zu verhindern.

Die Sichtweise von BeyondTrust

BeyondTrust, einer der betroffenen Okta-Kunden, spielte eine entscheidende Rolle bei der Aufdeckung des Verstoßes. Das Unternehmen beobachtete am 2. Oktober den Versuch, mit einem gestohlenen Cookie auf ein Okta-Administratorkonto zuzugreifen, und alarmierte Okta. Es dauerte jedoch über zwei Wochen, bis Okta den Verstoß bestätigte. Trotz einiger begrenzter Aktionen des böswilligen Akteurs erklärte BeyondTrust, dass seine Systeme und Kunden nicht beeinträchtigt wurden.

Die Beteiligung von Cloudflare

Cloudflare entdeckte am 18. Oktober 2023 auf seinen Servern auch böswillige Aktivitäten im Zusammenhang mit der Okta-Verletzung. Die Angreifer nutzten ein Authentifizierungs-Token, das aus dem Support-System von Okta gestohlen wurde, um Zugang zu Cloudflare's Okta-Instanz mit administrativen Rechten zu erhalten. Durch die schnelle Reaktion von Cloudflare konnten die Auswirkungen eingedämmt werden, und es wurden keine Kundeninformationen oder Systeme gefährdet.

Wiederholte Sicherheitsvorfälle

Dieser Verstoß reiht sich ein in eine Reihe von Sicherheitsvorfällen bei Okta in den letzten Jahren. Im Januar 2022 wurden Kundendaten offengelegt, als sich die Gruppe Lapsus$ Zugang zu den Verwaltungskonsolen von Okta verschaffte. Darüber hinaus wurden im August 2022 Einmal-Passwörter (OTPs), die Okta-Kunden per SMS zugestellt wurden, von der Scatter Swine-Bedrohungsgruppe gestohlen. Auth0, ein zu Okta gehörender Anbieter von Authentifizierungsdiensten, wurde im September ebenfalls Opfer eines Sicherheitsvorfalls, bei dem Quellcode-Repositories gestohlen wurden.

Diese wiederholten Verstöße machen deutlich, wie wichtig robuste Cybersicherheitsmaßnahmen und eine aufmerksame Überwachung angesichts der sich entwickelnden Bedrohungen sind.

Brauchen Sie Unterstützung, um Ihre IT Security für 2023 aufzurüsten? Kontaktieren Sie uns!