Datenschutzverstoß beim Kundensupport von Okta
Okta, ein Unternehmen für Identitäts- und Authentifizierungsmanagement, meldete einen nicht autorisierten Zugriff auf sein Support-Case-Management-System. Nach eigenen Aussagen waren davon lediglich 134 seiner 18.400 Kunden betroffen. Der Eindringling hatte zwischen dem 28. September und dem 17. Oktober 2023 Zugriff auf HAR-Dateien. Diese Dateien enthielten Sitzungs-Tokens, die für Session-Hijacking-Angriffe genutzt werden können.
Der Angreifer konnte die Sitzungs-Tokens nutzen, um sich in legitime Okta-Sitzungen von fünf Kunden einzuklinken. Unter den betroffenen Unternehmen sind 1Password, BeyondTrust und Cloudflare. 1Password meldete erstmals verdächtige Aktivitäten am 29. September. Die beiden anderen Kunden wurden am 12. beziehungsweise am 18. Oktober identifiziert.
Okta informierte die Öffentlichkeit offiziell über das Sicherheitsvorfall am 20. Oktober. Dabei wurde bekanntgegeben, dass der Angreifer mit gestohlenen Anmeldedaten auf das Support Case Management-System von Okta zugegriffen hatte. Das Unternehmen hat nun weitere Einzelheiten über den Vorfall veröffentlicht.
Um auf das Kundensupportsystem von Okta zuzugreifen, wurde ein im System hinterlegtes Dienstkonto genutzt. Dieses Konto hatte Berechtigungen, um Kundensupportfälle anzuzeigen und zu bearbeiten. Bei weiteren Untersuchungen stellte sich heraus, dass der Benutzername und das Passwort für dieses Dienstkonto im persönlichen Google-Konto eines Mitarbeiters gespeichert waren. Die Person hatte sich über den Chrome-Webbrowser auf ihrem von Okta verwalteten Laptop bei ihrem persönlichen Google-Konto angemeldet. „Der wahrscheinlichste Weg, um an diese Zugangsdaten zu gelangen, ist die Kompromittierung des persönlichen Google-Kontos oder des persönlichen Geräts des Mitarbeiters“, so Bradbury.
Okta hat inzwischen die in den HAR-Dateien eingebetteten Sitzungs-Tokens, die von den betroffenen Kunden freigegeben wurden, widerrufen und das kompromittierte Dienstkonto deaktiviert. Außerdem wurde die Verwendung von persönlichen Google-Profilen in den Unternehmensversionen von Google Chrome blockiert, so dass sich die Mitarbeiter nicht mehr mit ihren persönlichen Konten auf von Okta verwalteten Laptops anmelden können.
Okta hat eine neue Sicherheitsfunktion eingeführt, bei der Sitzungs-Tokens an den Netzwerkstandort gebunden sind, um die Gefahr des Sitzungs-Token-Diebstahls bei Okta-Administratoren zu verringern. Wenn eine Netzwerkänderung erkannt wird, müssen sich die Okta-Administratoren erneut anmelden. Diese Funktion steht den Kunden im Early-Access-Bereich des Okta-Admin-Portals zur Verfügung.
Diese Entwicklung folgt nur wenige Tage nach dem Vorfall, bei dem persönliche Daten von 4.961 gegenwärtigen und ehemaligen Mitarbeitern des Unternehmens kompromittiert wurden. Der Angriff auf Rightway Healthcare, einen Anbieter von Gesundheitsdienstleistungen, fand am 23. September 2023 statt. Die gestohlenen Daten enthielten Informationen wie Namen, Sozialversicherungsnummern und Details zu Gesundheits- und Krankenversicherungsplänen.