Okta-onderzoek: hackers drongen bij slechts twee klanten binnen – Computer – Nieuws
De Lapsus$-hackers die in januari securitybedrijf Okta aanvielen, wisten bij slechts twee klanten binnen te komen. De aanvallers waren 25 minuten in de systemen van het bedrijf en troffen geen 366 klanten zoals eerst werd gedacht.
Okta heeft het onderzoek afgerond naar de hack die in januari plaatsvond en in maart naar buitenkwam. Hackers van de Lapsus$-groep drongen toen via een tussenleverancier binnen bij een onderaannemer van Okta, die singlesign-onsoftware bouwt. Eerder was niet bekend hoeveel klanten er daardoor waren getroffen. Later kwam Okta met de claim dat dat er maximaal 366 waren. Die schatting was gebaseerd op het aantal keer dat werknemers van de onderaannemer een SuperUser-toegangsaanvraag hadden gedaan bij klanten in de periode dat de hack plaatsvond.
Okta heeft het onderzoek naar de hack nu definitief afgerond. De belangrijkste conclusies over de oorspronkelijke infiltratie blijven staan. De hackers kwamen binnen op één laptop van een onderaannemer van Sitel, dat de klantenservice deed namens Okta. De aanval vond plaats op 25 januari. Okta zegt nu dat de hackers in totaal slechts 25 minuten toegang hadden tot de systemen van klanten.
In die 25 minuten zijn de aanvallers binnengedrongen bij twee van die klanten. Wie dat zijn, is niet bekend, maar Okta heeft hen wel op de hoogte gebracht. Volgens Okta hebben de hackers in de klantsystemen geen configuraties gewijzigd en geen wachtwoord- of multifactorauthenticatieresets uitgevoerd.
Okta zegt daarnaast dat de aanvallers toegang hadden tot interne systemen van Okta, waaronder Slack en Jira. Daarbij zouden de aanvallers geen informatie hebben gevonden waarmee ze de systemen verder konden binnenvallen. Okta heeft de samenwerking met de onderaannemer stopgezet en zegt maatregelen door te voeren. Het bedrijf wil een nieuw zerotrustbeleid opzetten, betere communicatie richting klanten en thirdpartytools beter beheren.
Het rapport is niet openbaar. Okta heeft alleen de conclusies gepubliceerd. Een ontbrekend stuk informatie uit het rapport is hoe de aanvallers precies binnendrongen bij de onderaannemer. Techcrunch schreef eerder dat de hackers een spreadsheet met wachtwoorden hadden gevonden, maar de onderaannemer ontkende dat later.
Giliam Budel is bij InternetBlabla.nl betrokken sinds 2020. Giliam is opgegroeid in een klein dorp nabij Utrecht. Ze verhuisde naar Breda om te studeren. Voordat ze betrokken raakte bij InternetBlaBla.nl heeft Giliam even als freelance journalist gewerkt bij een aantal radio stations. Daar versloeg ze politieke en economische verhalen met een digitale component.
