Okta geeft details over inbraak op systeem van support-engineer

Authenticatieprovider Okta heeft meer details gegeven over een beveiligingsincident dat in januari plaatsvond met het systeem van een externe support-engineer. Aanvallers wisten toegang tot het systeem te krijgen en konden zo screenshots van de Okta-omgeving maken. Okta biedt oplossingen voor identity en access management en heeft naar eigen zeggen meer dan 15.000 klanten wereldwijd.

Onlangs publiceerde een groep aanvallers die zichzelf Lapsus$ noemt verschillende screenshots die leken te suggereren dat er toegang tot systemen van Okta was verkregen. In een analyse van het incident verklaart Okta dat de aanvallers wisten in te breken op het systeem van een externe support-engineer. Okta maakt gebruik van verschillende externe partijen voor klantondersteuning. Een van deze partijen, Sitel, levert helpdeskmedewerkers.

Op 20 januari ontving het Okta-securityteam dat er was geprobeerd om een nieuwe multifactorauthenticatie aan het Okta-account van een Sitel-helpdeskmedewerker toe te voegen. De poging was onsuccesvol. Okta resette het account en waarschuwde Sitel, dat een forensisch bedrijf een onderzoek liet uitvoeren. Hoewel Sitel op 21 januari werd ingelicht ontving Okta het onderzoeksrapport pas op 22 maart.

Uit het onderzoek blijkt dat de aanvallers via RDP toegang tot het systeem van de support-engineer hadden gekregen en zo screenshots van de machine konden maken. Volgens Okta hebben support-engineers beperkte toegang en kunnen ze geen gebruikers verwijderen of toevoegen, geen klantendatabases downloaden of broncode bekijken. Door het gecompromitteerde Sitel-account hebben de aanvallers mogelijk toegang tot de Okta-omgevingen van 366 klanten gekregen. Hoe het account van de support-engineer kon worden gecompromitteerd wordt niet vermeld.