{"id":263599,"date":"2022-03-22T11:56:14","date_gmt":"2022-03-22T10:56:14","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263599"},"modified":"2022-03-28T12:19:01","modified_gmt":"2022-03-28T10:19:01","slug":"authentifizierungsdienst-okta-durch-lapsus-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/22\/authentifizierungsdienst-okta-durch-lapsus-gehackt\/","title":{"rendered":"Authentifizierungsdienst OKTA durch Lapsus$ gehackt?"},"content":{"rendered":"

\"Sicherheit[English<\/a>]\u00c4u\u00dferst unsch\u00f6ne Geschichte, wenn sich das Ganze bewahrheiten sollte. Einem Bericht nach untersucht der Anbieter OKTA einen m\u00f6glichen Hack. Okta ist ein Anbieter von Authentifizierungsdiensten in der Cloud, so dass ein erfolgreicher Hack weitreichende Folgen nach sich ziehen k\u00f6nnte. Berichten zufolge reklamiert die Lapsus$-Gang den Hack. Erg\u00e4nzungen:<\/strong> OKTA hat einige Informationen nachgereicht.<\/p>\n

<\/p>\n

\"\"Es ist wieder die Lapsus$-Cybergruppe, die einen erfolgreichen Hack auf den Authentifizierungsdienst OKTA f\u00fcr sich reklamiert. Ich bin \u00fcber nachfolgenden Tweet<\/a> auf den Sachverhalt, den die Nachrichtenagentur Reuters hier<\/a> thematisiert, aufmerksam geworden.<\/p>\n

\"OKTA<\/a><\/p>\n

Montag waren im Telegramm-Kanal der Lapsus$-Cybergang Screenshots aufgetaucht, die einen Hack von Okta nahelegen. Bill Demirkapi<\/a> hat in nachfolgendem Tweet<\/a> einige dieser Screenshots auf Twitter ver\u00f6ffentlicht.<\/p>\n

\"OKTA<\/a><\/p>\n

Das, was auf den Screenshots zu sehen ist, sei laut Demirkapi sehr beunruhigend. Auf den Abbildungen hier<\/a> scheint Lapsus$ Zugriff auf den Cloudflare-Tenant gehabt zu haben. Das geht auch mit der M\u00f6glichkeit einher, die Passw\u00f6rter der Mitarbeiter zur\u00fcckzusetzen. Ein Datum in einem Screenshot weist darauf hin, dass Lapsus$ bereits seit dem 21. Januar 2022 Zugriff auf eine VM von Okta hatte. Der Cloud-Authentifizierungsanbieter hat den Vorfall entweder zwei Monate nicht bemerkt oder so lange geheim gehalten.<\/p>\n

Lapsus$ scheint sich Zugang zu einigen Firmen-VPNs verschafft zu haben. Dass schlie\u00dft Demirkapi aus einem Cisco AnyConnect-Symbol und einem GlobalProtect-Fenster in einem Screenshot. Weitere Screenshots zeigen einen Zugriff auf den \"Superuser\", wobei es sich m\u00f6glicherweise um das administrative Zugriffspanel von Okta handeln k\u00f6nnte. Ein anderer Zugang umfasst die von Okta verwendeten Produkte Jira und Slack.<\/p>\n

Ein Hack bei Okta k\u00f6nnte schwerwiegende Folgen haben, schreibt Reuters<\/a>. Denn Tausende anderer Unternehmen sind auf das in San Francisco ans\u00e4ssige Unternehmen angewiesen, um den Zugang zu ihren eigenen Netzwerken und Anwendungen zu verwalten. Chris Hollis, ein Okta-Mitarbeiter, gibt an, dass der Vorfall mit einem fr\u00fcheren Vorfall im Januar 2022 zusammenh\u00e4ngen k\u00f6nnte, der bemerkt und angeblich einged\u00e4mmt wurde. Laut Hollis habe Okta zu diesem Zeitpunkt einen Versuch festgestellt, das Konto eines dritten Kundensupporttechnikers zu kompromittieren. Dazu sagt Hollis:<\/p>\n

Wir glauben, dass die Screenshots, die online geteilt wurden, mit diesem Ereignis im Januar zusammenh\u00e4ngen. Basierend auf unseren bisherigen Ermittlungen gibt es keine Hinweise auf weitere b\u00f6sartige Aktivit\u00e4ten, die \u00fcber die im Januar entdeckten Aktivit\u00e4ten hinausgehen.<\/p><\/blockquote>\n

Sicherheitsexperten halten die auf Telegramm geposteten Screenshots f\u00fcr authentisch. Dan Tentler, der Gr\u00fcnder des Cybersecurity-Beratungsunternehmens Phobos Group, sagte gegen\u00fcber Reuters, auch er glaube, dass die Sicherheitsverletzung echt sei und forderte Okta-Kunden auf, \"jetzt sehr wachsam zu sein\". Die Kollegen von Bleeping Computer haben hier<\/a> und die Leute von CSO-Online haben hier<\/a> ebenfalls einige Informationen und Statements ver\u00f6ffentlicht.<\/p>\n

Laut Demirkapi habe die Lapsus$ -Cybergang ihre Telegram-Nachrichten korrigiert, um klarzustellen, dass sie nicht in die Datenbanken von Okta eingedrungen sind, sondern Okta-Kunden ins Visier genommen haben. Ist nun aber auch keine beruhigende Nachricht f\u00fcr die Kunden von Okta. Die Tweets<\/a> von Demirkapi sind ganz interessant, diskutieren sie doch viele Details.<\/p>\n

Erg\u00e4nzung:<\/strong> Der Hack von Okta w\u00fcrde m\u00f6glicherweise erkl\u00e4ren, warum Laspsus$ die letzten Wochen so spektakul\u00e4re Erfolge bei Nvidia, Samsung, Ubisoft und Microsoft hatte.<\/p>\n

Erg\u00e4nzung 2:<\/strong> OKTA hat einige Informationen nachgereicht. So gibt es inzwischen von David Bradbury, Chief Security Officer bei Okta, eine Stellungnahme vom 22. M\u00e4rz 2022 zum Hack (siehe Beitrag\u00a0Lapsus$-Hacks: Stellungnahmen von Okta und Microsoft<\/a>).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nNvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen<\/a>
\nUbisoft durch Lapsus$-Cyber-Gang gehackt (M\u00e4rz 2022)<\/a>
\nSamsung best\u00e4tigt Hack, Quellcodes durch Lapsus$ geleakt<\/a>
\nLapsus$ ver\u00f6ffentlicht angeblich Quellcode von Microsoft Azure, Bing und Cortana<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]\u00c4u\u00dferst unsch\u00f6ne Geschichte, wenn sich das Ganze bewahrheiten sollte. Einem Bericht nach untersucht der Anbieter OKTA einen m\u00f6glichen Hack. Okta ist ein Anbieter von Authentifizierungsdiensten in der Cloud, so dass ein erfolgreicher Hack weitreichende Folgen nach sich ziehen k\u00f6nnte. Berichten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-263599","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263599","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263599"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263599\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263599"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263599"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263599"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}