Okta: Kleine hoeveelheid klanten getroffen door cyberaanval

Okta voert een diepgravend onderzoek uit naar de recente claim van Lapsus$. De hackersgroep stelt het authentificatieplatform te hebben gehackt. 2,5% van de klanten is getroffen, wat neerkomt op zo'n 375 organisaties.

Chief Security Officer David Bradbury meldt op het blog van Okta dat Okta in januari een onsuccesvolle poging detecteerde om binnen te dringen op het account van een support engineer die voor een derde partij werkt. Deze provider is hiervan op de hoogte gesteld, de actieve sessies van deze gebruiker zijn toen gestopt en het account is geblokkeerd.

Aanvallers had enkele dagen toegang

Op basis hiervan deelde Okta informatie over de aanvaller waaronder verdachte IP-adressen aan de externe leverancier met het oog op onderzoek door een forensisch expert. Dit onderzoek is inmiddels afgerond. Hieruit blijkt dat een aanvaller toegang had tot de laptop van een support engineer in de periode 16 tot en met 21 januari 2022. Dit komt overeen met een screenshot die Lapsus$ op zijn Telegram-account heeft gepubliceerd.

"De potentiële impact op Okta klanten is beperkt door de toegang die support engineers hebben. Deze engineers zijn niet in staat gebruikers te creëren of deleten, of klantdatabases te downloaden. Support engineers hebben toegang tot beperkte data - zoals Jira tickets en lijsten met gebruikers - die zichtbaar zijn op de screenshots. Support engineers zijn ook in staat wachtwoorden en multi-factor authentificatiefactors voor gebruikers te resetten, maar kunnen niet bij deze wachtwoorden", aldus Bradbury.

Meer informatie is hier beschikbaar.