{"id":287227,"date":"2023-10-21T02:23:39","date_gmt":"2023-10-21T00:23:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=287227"},"modified":"2023-10-21T23:54:59","modified_gmt":"2023-10-21T21:54:59","slug":"support-system-des-anbieters-von-cloud-authentifizierungsdiensten-okta-mit-gestohlenen-credentials-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/21\/support-system-des-anbieters-von-cloud-authentifizierungsdiensten-okta-mit-gestohlenen-credentials-gehackt\/","title":{"rendered":"Okta Support-System mit gestohlenen Credentials gehackt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Anbieter Okta (Anbieter von Authentifizierungsdiensten in der Cloud) musste gerade eingestehen, dass sein Support-System mittels gestohlener Credentials kompromittiert wurde. Der Angreifer konnte Dateien einsehen, die von bestimmten Okta-Kunden im Rahmen aktueller Supportf\u00e4lle hochgeladen wurden. Der Anbieter fordert inzwischen Kunden auf, ihrer Credentials zu erneuern.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber nachfolgenden Post von Will Dormann auf diesen Artikel<\/a> von Okta gesto\u00dfen, in dem der Sachverhalt offen gelegt wird.\u00a0 Das Okta Security Team hat einen Angreifer identifiziert, der sich mit gestohlenen Zugangsdaten Zugriff auf das Support Case Management System von Okta verschafft hat.<\/p>\n

<\/p>\n

Der Angreifer war in der Lage, Dateien einzusehen, die von bestimmten Okta-Kunden im Rahmen aktueller Support-F\u00e4lle in das Support-System hochgeladen wurden.<\/p>\n

Der Hersteller gibt an, dass das Okta-Support-Fallverwaltungssystem vom Okta-Produktionsdienst getrennt ist. Der Okta-Produktionsdienst sei vollst\u00e4ndig in Betrieb und nicht beeintr\u00e4chtigt worden, hei\u00dft es. Dar\u00fcber hinaus ist das Auth0\/CIC-Fallverwaltungssystem von diesem Vorfall nicht betroffen.<\/p>\n

Okta schreibt, dass alle Kunden, die von diesem Vorfall betroffen sind, benachrichtigt wurde. Wer als Okta-Kunde \u00fcber die Medien vom Vorfall erf\u00e4hrt oder \u00fcber Dritte kontaktiert wird, soll laut Okta nicht betroffen sein.<\/p>\n

Wie konnte das passieren?<\/h2>\n

Der Anbieter erkl\u00e4rt, dass der Okta-Support seine Kunden bei Supportf\u00e4llen bittet, eine HTTP-Archivdatei (HAR) hochzuladen. Diese HAR-Datei erm\u00f6glicht eine Fehlerbehebung durch Replikation der Browseraktivit\u00e4t. Das Problem: HAR-Dateien k\u00f6nnen auch sensible Daten enthalten, darunter Cookies und Sitzungs-Tokens. B\u00f6swillige Akteure k\u00f6nnen die in den HAR-Dateien enthaltenen Cookies und Sitzungs-Tokens nutzen, um sich als legitime Benutzer auszugeben. Genau dies ist wohl im aktuellen Fall passiert.<\/p>\n

Okta hat mit den betroffenen Kunden zusammengearbeitet, um das Problem zu untersuchen, und hat Ma\u00dfnahmen zum Schutz aller Kunden ergriffen. Dazu geh\u00f6rt auch der Widerrufs eingebetteter Sitzungs-Tokens. Generell empfiehlt Okta, alle Anmeldedaten und Cookies\/Session-Tokens in einer HAR-Datei zu s\u00e4ubern, bevor sie weitergegeben werden.<\/p>\n

Weitere Hinweise<\/h2>\n

Okta hat in seinem Artikel<\/a> Indikatoren f\u00fcr eine Gef\u00e4hrdung (IP-Adressen) aufgelistet, an Hand derer eine eigene Gef\u00e4hrdungsanalyse durchgef\u00fchrt werden k\u00f6nnte. In diesem Artikel<\/a> von Bleeping Computer hei\u00dft es, dass der Angriff durch das Identit\u00e4tsmanagement-Unternehmen BeyondTrust, als betroffener Kunde, entdeckt wurde.<\/p>\n

Das Sicherheitsteam von BeyondTrust entdeckte und blockierte am 2. Oktober 2023 einen Versuch, sich in ein internes Okta-Administratorkonto einzuloggen. Bei diesem Versuch wurde ein Cookie verwendet, welches aus dem Support-System von Okta gestohlen wurde. Der Sachverhalt wurde von BeyondTrust in diesem Blog-Beitrag<\/a> dokumentiert.<\/p>\n

BeyondTrust schreibt dazu sinngem\u00e4\u00df, dass man Okta am 2. Oktober 2023 \u00fcber die Bedenkung und Vermutungen eines Hacks informiert habe. BeyondTrust stellte dem Unternehmen forensische Daten zur Verf\u00fcgung, aus denen hervorging, dass die Support-Organisation von Okta kompromittiert wurde. Da es von Okta keine Best\u00e4tigung einer m\u00f6glichen Sicherheitsverletzung gegeben habe, wurde der Vorfall weiter bei Okta eskalaiert. Am 19. Oktober best\u00e4tigte die Okta-Sicherheitsleitung, dass tats\u00e4chlich eine Sicherheitsverletzung stattgefunden hat und BeyondTrust einer der betroffenen Kunden ist.<\/p>\n

BeyondTrust sagt, dass der Angriff durch \"benutzerdefinierte Richtlinienkontrollen\" vereitelt wurde, aber aufgrund von \"Einschr\u00e4nkungen im Sicherheitsmodell von Okta\" war der Angreifer in der Lage, \"ein paar begrenzte Aktionen\" durchzuf\u00fchren. Trotzdem konnte sich der Angreifer keinen Zugang zu den Systemen des Unternehmens verschaffen, und die Kunden des Unternehmens waren nicht beeintr\u00e4chtigt. Laut Bleeping Computer ist auch Cloudflare von diesem Vorfall als Kunde betroffen.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Authentifizierungsdienst OKTA durch Lapsus$ gehackt?<\/a>
\nLapsus$-Hacks: Stellungnahmen von Okta und Microsoft<\/a>
\nOkta gesteht \"Lapsus\" bez\u00fcglich Offenlegung beim \"Lapsus$-Hack\" ein<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Anbieter Okta (Anbieter von Authentifizierungsdiensten in der Cloud) musste gerade eingestehen, dass sein Support-System mittels gestohlener Credentials kompromittiert wurde. Der Angreifer konnte Dateien einsehen, die von bestimmten Okta-Kunden im Rahmen aktueller Supportf\u00e4lle hochgeladen wurden. Der Anbieter fordert inzwischen Kunden … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-287227","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287227","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287227"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287227\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287227"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287227"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287227"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}