Der Anbieter von Identitäts- und Zugriffsmanagement Okta hat am Dienstag bekannt gegeben, dass er seine Untersuchung des Einbruchs bei einem Drittanbieter Ende Januar 2022 durch die Erpresserbande LAPSUS$ abgeschlossen hat.
Okta teilte mit, dass die „Auswirkungen des Vorfalls deutlich geringer waren als die maximal möglichen Auswirkungen“, die das Unternehmen im letzten Monat mitgeteilt hatte.
Der Sicherheitsvorfall ereignete sich am 21. Januar, als sich die Hackergruppe LAPSUS$ unbefugten Fernzugriff auf die Workstation eines Sitel-Supporttechnikers verschaffte. Es wurde jedoch erst fast zwei Monate später bekannt, als die Angreifer Screenshots der internen Systeme von Okta auf ihrem Telegram-Kanal veröffentlichten.
Neben dem Zugriff auf zwei aktive Kunden-Tenants in der SuperUser-Anwendung, die für grundlegende Verwaltungsfunktionen genutzt wird, soll die Hackergruppe auch begrenzte zusätzliche Informationen in anderen Anwendungen wie Slack und Jira eingesehen haben, was frühere Berichte bestätigte.
„Die Kontrolle dauerte am 21. Januar 2022 25 Minuten lang an“, sagte David Bradbury, Chief Security Officer von Okta. „Der Angreifer war nicht in der Lage, Konfigurationsänderungen, MFA- oder Passwortrücksetzungen oder Kunden-Support-Impersonation erfolgreich durchzuführen.
„Der Angreifer konnte sich nicht direkt bei Okta-Konten authentifizieren“, so Bradbury weiter.
Okta, das für seine verspätete Offenlegung und seinen Umgang mit dem Vorfall kritisiert wurde, hat die Zusammenarbeit mit Sitel beendet und Änderungen an seinem Kundensupport-Tool vorgenommen, um „die Informationen, die ein technischer Support-Techniker einsehen kann, einzuschränken“.