Okta heeft het onderzoek naar de hackaanval van afgelopen januari afgerond. Daaruit blijkt dat een onbevoegde in totaal 25 minuten lang toegang had tot de server van het bedrijf. In deze tijdruimte had hij inzage in de gegevens van twee klanten. De dader slaagde er niet in om toegang te krijgen tot data van andere klanten, of wachtwoorden aan te passen.
Dat meldt Okta in een update over de hackaanval (1).
In maart meldde het bedrijf dat authenticatiesoftware ontwikkelt dat een hacker op 21 januari via het netwerk van Sitel, een extern bedrijf dat de klantenservice van Okta voor zijn rekening neemt, toegang wist te krijgen tot de server van Okta. Aanvankelijk ging men er van uit dat minimaal 366 klanten de dupe waren van de hackaanval.
Dat aantal stelt Okta nu naar beneden bij. Het onderzoek naar de ongeautoriseerde toegang is afgerond. Daaruit blijkt dat de aanvaller via een account van een ingenieur die bij Sitel actief is, korte tijd toegang wist te krijgen tot één workstation van Okta. Via een SuperUser applicatie kon hij 25 minuten lang ongestoord klantinformatie bekijken.
In deze tijd heeft de dader gegevens ingezien van twee klanten, zo meldt Okta. De persoon in kwestie heeft geen aanpassingen gedaan in de instellingen, multifactorauthenticatie (MFA) of wachtwoorden gereset, of zich voorgedaan als een medewerker van de klantenservice. Zodoende had de aanvaller geen toegang tot gegevens van andere klanten.
In een persbericht zegt Okta dat het belangrijk is om het vertrouwen bij haar klanten in het ecosysteem van het bedrijf te herstellen. “De conclusies van het definitieve forensische rapport doen niets af aan onze vastberadenheid om corrigerende maatregelen te nemen die bedoeld zijn om soortgelijke gebeurtenissen te voorkomen en ons vermogen om te reageren op beveiligingsincidenten te verbeteren”, aldus Okta.
De authenticatiesoftware-ontwikkelaar belooft zijn beveiligingsprocessen intern te bespreken en een nieuwe manier te bedenken om updates sneller uit te rollen. “We zullen blijven werken aan de beoordeling van potentiële risico’s en, indien nodig, zo snel mogelijk communiceren met onze klanten.”
Okta heeft de samenwerking met Sitel en diens moederbedrijf Sykes reeds opgezegd. Voortaan eist Okta van toeleveranciers dat ze volgens het Zero Trust principe werken. De basisgedachte van Zero Trust is never trust, always verify. In plaats van een beveiligingsarchitectuur in te richten waar het accent ligt op bescherming van de buitenste laag of buitenring, wordt het grote bedrijfsnetwerk opgedeeld in kleine, beveiligde netwerken of implied trust zones. Door het netwerk te segmenteren, zijn er meer controlemogelijkheden door authenticatie en monitoring.
Verder controleert Okta per direct alle apparaten van derden die toegang hebben tot de klantondersteuningstools van het bedrijf. Zo wil Okta de responstijden verkleinen om effectiever te reageren op beveiligingsincidenten. Tot slot komt het bedrijf met nieuwe systemen om bij een beveiligingsincident sneller met klanten hierover te communiceren.
Wie er achter de hackaanval zit laat Okta in het midden. Cybersecurityexperts denken dat LAPSUS$ hiervoor verantwoordelijk is. Dat is een hackersgroep die internationaal actief is. De afgelopen weken heeft de groep meerdere slachtoffers gemaakt, waaronder NVIDIA, Samsung en Microsoft.
De groep, ook wel bekend als DEV-0537, zou honderden gigabytes aan vertrouwelijke data hebben buitgemaakt. In het geval van Microsoft zouden de aanvallers delen van de broncode van onder meer zoekmachine Bing, spraakassistent Cortana en navigatieprogramma Bing Maps gestolen hebben.
De Britse politie arresteerde eind maart zeven tieners die mogelijk banden zouden hebben met de hackersgroep. Een zestienjarige jongen zou het meesterbrein van de aanvallen zijn. Hij en medeverdachten zitten nog altijd in voorlopige hechtenis.
