{"id":263803,"date":"2022-03-28T13:08:32","date_gmt":"2022-03-28T11:08:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263803"},"modified":"2022-04-25T08:41:21","modified_gmt":"2022-04-25T06:41:21","slug":"okta-gesteht-lapsus-bezglich-offenlegung-beim-lapsus-hack-ein","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/28\/okta-gesteht-lapsus-bezglich-offenlegung-beim-lapsus-hack-ein\/","title":{"rendered":"Okta gesteht "Lapsus" bezüglich Offenlegung beim "Lapsus$-Hack" ein"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Das ist kein positives Bild, was der Authentifizierungsdienst Okta gerade abgibt. Die Lapsus$-Gang hatte behauptet, Okta gehackt zu haben, wodurch hunderte an Kunden bedroht und Opfer von Angriffen geworden sein k\u00f6nnten. Stellte sich aber wohl um \"viel Wind um wenig\" heraus. Aber Okta musste einen eigenen Lapsus eingestehen: Es gab eine Fehleinsch\u00e4tzung und man hat die \u00d6ffentlichkeit viel zu sp\u00e4t \u00fcber den Sachverhalt informiert und reagiert.<\/p>\n

<\/p>\n

Hintergrund: Der Lapsus$-\"Hack\"<\/h2>\n

\"\"Okta ist ein Anbieter von Authentifizierungsdiensten in der Cloud, der von vielen Firmen genutzt wird. Vor einigen Tagen wurde bekannt, dass der Anbieter Okta einen Hack auf sein Netzwerk untersucht – aber erst, nachdem die Lapsus$-Gruppe damit an die \u00d6ffentlichkeit ging und einen Einbruch in die Systeme des Authentifizierungsdiensts f\u00fcr sich reklamierte.<\/p>\n

\"OKTA<\/a><\/p>\n

Damals waren im Telegramm-Kanal der Lapsus$-Cybergang Screenshots aufgetaucht, die einen Hack von Okta nahelegen. Bill Demirkapi hatte auf Twitter<\/a> einige dieser Screenshots ver\u00f6ffentlicht (siehe obiges Foto). Das sah alles gravierend aus, war doch vermeintlich ein SuperUser-Zugriff auf irgendwelche Dienste in den Screenshots zu erkennen. Hat sich zwar inzwischen aufgel\u00f6st, aber die Aufregung war gro\u00df. Speziell, da inzwischen bekannt ist, dass im Januar 2022 ein Angriffsversuch bemerkt wurde, dass Ganze aber erst im M\u00e4rz 2022, als Lapsus$ Screenshots postete und auf einen Hack hinwies, an die \u00d6ffentlichkeit kam.<\/p>\n

Okta gesteht Fehler ein<\/h2>\n

Die Kollegen von Bleeping Computer haben es aufgegriffen<\/a> – Okta ist durch sein Handeln wohl ziemlich unter Druck geraten. In nachfolgendem Tweet<\/a> findet sich die Botschaft, dass Okta einen Fehler in der z\u00f6gerlichen Verfolgung und versp\u00e4teten Offenlegung des angeblichen Hacks eingesteht.<\/p>\n

\"Okta<\/a><\/p>\n

Basis ist wohl diese Verlautbarung<\/a> von Okta, die ein wenig Licht in das Ganze bringt. Am 20. Januar 2022 wurde das Okta-Sicherheitsteam darauf aufmerksam gemacht, dass dem Okta-Konto eines Sitel-Kundendiensttechnikers ein neues Passwort hinzugef\u00fcgt wurde. Der Zugriff erfolgte wohl von einem ungew\u00f6hnlichen Ort und es wurde keine Multi-Faktor-Authentifizierung f\u00fcr das Konto benutzt. Man setzte das Konto vorsichtshalber zur\u00fcck, obwohl es nur ein erfolgloser Einzelversuch zum Zugriff war. Gleichzeitig wurde der Drittanbieter Sitel, der Okta bei der Bereitstellung des Kundensupports unterst\u00fctzt, informiert. Der Notebook, von dem der Zugriff erfolgte, geh\u00f6rte einem Kontraktor, der durch Sitel gerade aufgekauft worden war. Also Outsourcing at it's best. Sitel beauftragte dann ein forensisches Unternehmen mit einer Untersuchung des Vorfalls.<\/p>\n

\"Timeline<\/p>\n

Gem\u00e4\u00df obiger Timeline, die Okta ver\u00f6ffentlichte, lief die Untersuchung des Zugriffs vom 20. Januar 2022 bis zum 28. Februar, wobei der Bericht am 10. M\u00e4rz 2022 an Sitel ging. Okta erhielt den Bericht am 17. M\u00e4rz, aber erst am 22. M\u00e4rz 2022 kam Bewegung in die Sache, weil Lapsus$ Screenshots des Zugriffs auf die Okta IT-Infrastruktur postete.<\/p>\n

Inzwischen ist wohl klar, dass die Lapsus$-Screenshots vom Computer eines Sitel-Support-Technikers gemacht wurden, auf den ein Angreifer per RDP Fernzugriff erhalten hatte. W\u00e4hrend der Angreifer also nie \u00fcber eine Konto\u00fcbernahme Zugriff auf den Okta-Dienst erlangte, wurde ein bei Okta angemeldeter Rechner kompromittiert, und er war in der Lage, Screenshots zu erstellen und den Rechner \u00fcber die RDP-Sitzung zu steuern, hei\u00dft es in diesem Blog-Beitrag<\/a>.<\/p>\n

Okta legt Wert darauf, dass der Zugriff eines Support-Technikers auf die grundlegenden Aufgaben bei der Bearbeitung eingehender Support-Anfragen beschr\u00e4nkt ist. Support-Techniker verwenden eine Reihe von Kundensupport-Tools, um ihre Arbeit zu erledigen, darunter Oktas Jira-Instanzen, Slack, Splunk, RingCentral und Support-Tickets \u00fcber Salesforce.<\/p>\n

Der Gro\u00dfteil der Support-Engineering-Aufgaben wird mit einer intern entwickelten Anwendung namens SuperUser oder kurz SU durchgef\u00fchrt, die f\u00fcr grundlegende Verwaltungsfunktionen von Okta-Kunden-Tenants verwendet wird. Diese Anwendung bietet nicht allen Nutzern einen \"gottgleichen Zugang\". Das Tool wurde nach dem Prinzip der geringsten Privilegierung entwickelt, um sicherzustellen, dass die Supporttechniker nur den spezifischen Zugriff erhalten, den sie f\u00fcr die Aus\u00fcbung ihrer Aufgaben ben\u00f6tigen. Sie k\u00f6nnen keine Benutzer erstellen oder l\u00f6schen. Sie k\u00f6nnen keine Kundendatenbanken herunterladen. Sie k\u00f6nnen nicht auf die Okta Quellcode-Repositories zugreifen.<\/p>\n

An dieser Stelle wird klar, wenn die Darstellung von Okta stimmt, dass die Lapsus$-Gruppe mit der Ver\u00f6ffentlichung der Screenshots vor allem Aufmerksamkeit generieren konnte. Aus der forensischen Untersuchung geht hervor, dass der Angreifer ein f\u00fcnft\u00e4giges Zeitfenster zwischen dem 16. und 21. Januar 2022 hatte, um auf den Sitel-Laptop zuzugreifen. Okta hat dann mehr als 125.000 Protokolleintr\u00e4ge analysiert, um festzustellen, dass maximal 366 Kunden (ca. 2,5 %) potentiell betroffen sein k\u00f6nnten, weil auf deren Konten vom Okta-Tenant Sitel zugegriffen wurde.<\/p>\n

Eine Information der Okta-Kunden wurden in der gesamten Zeit wohl unterlassen, weil die Einsch\u00e4tzung bestand, dass keine Gefahr besteht. In dieser FAQ<\/a> gesteht Okta aber ein, im Hinblick auf die Information der Kunden einen Fehler gemacht zu haben. Man habe nicht nachdr\u00fccklicher Informationen von Sitel eingefordert, sondern ging davon aus, dass alles glimpflich abgegangen sei. Und man habe die Kunden zu sp\u00e4t informiert, weil die Bewertung das nicht nahelegte. Unter dem Strich bleibt bez\u00fcglich des reklamierten Okta-Hacks ein \"mehr Schein als Sein\" der Lapsus$-Leaks, aber auch eine Fehleinsch\u00e4tzung Seitens Okta in Bezug auf die Handhabung der Information und den Umgang mit dem Fall.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen hat Okta bekannt gegeben, dass die Lapsus$-Hacker nur 25 Minuten lang einen Laptop eines Auftragnehmers mit Zugang zum internen Netzwerk aktiv kontrollierte. In der Zeit seien Daten von genau zwei Kunden angesehen worden. Details finden sich beispielsweise bei Engadget in diesem Artikel<\/a>.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nNvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen<\/a>
\nUbisoft durch Lapsus$-Cyber-Gang gehackt (M\u00e4rz 2022)<\/a>
\nSamsung best\u00e4tigt Hack, Quellcodes durch Lapsus$ geleakt<\/a>
\nAuthentifizierungsdienst OKTA durch Lapsus$ gehackt?<\/a>
\nLapsus$ ver\u00f6ffentlicht angeblich Quellcode von Microsoft Azure, Bing und Cortana<\/a>
\nLapsus$-Hacks: Stellungnahmen von Okta und Microsoft<\/a>
\nStecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe?<\/a>
\n7 Teenager im Zusammenhang mit den LAPSUS$-Hacks verhaftet<\/a>
\nLapsus$: Zwei britische Teenager wegen Hackens angeklagt<\/a>
\nChats zeigen: LAPSUS$ hatte wohl auch T-Mobile mehrfach gehackt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das ist kein positives Bild, was der Authentifizierungsdienst Okta gerade abgibt. Die Lapsus$-Gang hatte behauptet, Okta gehackt zu haben, wodurch hunderte an Kunden bedroht und Opfer von Angriffen geworden sein k\u00f6nnten. Stellte sich aber wohl um \"viel Wind um wenig\" … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-263803","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263803","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263803"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263803\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263803"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263803"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263803"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}