Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an.
Jetzt testen Kontakt

Oktas Untersuchung der Kompromittierung vom Januar 2022

Über den Autor/die Autorin

David Bradbury

Chief Security Officer

David Bradbury is the Chief Security Officer at Okta. He oversees security execution, and is responsible for a team navigating the evolving threat landscape to best protect employees and customers. He is also at the forefront of helping Okta’s customers adopt and accelerate Zero Trust security strategies.

Prior to Okta, David was the Senior Vice President and Chief Security Officer at Symantec where he oversaw all cyber security and physical security programs. He has an international reputation for leading and delivering cybersecurity at scale. David has worked across the globe from his native Australia to the UK and the US, leading highly regarded security teams at some of the world’s largest banks including ABN AMRO, Barclays, Morgan Stanley and the Commonwealth Bank of Australia.

David has a Bachelor’s Degree in Computer Science from the University of Sydney.

24 März 2022 Lesezeit: ~

Inhalt

Dieses Update wurde um 8:50 Uhr Pazifik-Zeit veröffentlicht.

++

Am 22. März 2022, vor fast 24 Stunden, wurden online eine Reihe von Screenshots veröffentlicht, die von einem Computer eines Drittanbieter-Kundendiensttechnikers von Okta stammten. Die Weitergabe dieser Screenshots ist peinlich für mich und das gesamte Okta-Team. 

In diesem Beitrag möchte ich einen Zeitplan und meine Sichtweise auf die Ereignisse darlegen und aufzeigen, wo wir heute mit dieser Untersuchung stehen. Ich hoffe, dass dies verdeutlichen wird, warum ich von unseren Schlussfolgerungen überzeugt bin, dass der Okta-Dienst nicht kompromittiert wurde und keine Korrekturmaßnahmen von unseren Kunden ergriffen werden müssen.

Zur Hintergrundinformation: Wie viele SaaS-Anbieter nutzt Okta mehrere Unternehmen („Subunternehmer“), um unsere Belegschaft zu erweitern. Diese Unternehmen helfen uns, unsere Kunden zu bedienen und sie mit unseren Produkten erfolgreich zu machen. Sitel ist durch die Übernahme von Sykes ein Okta-Subunternehmer, der Okta Vertragsarbeiter für unsere Kundendienstorganisation zur Verfügung stellt. 

Am 20. Januar 2022 wurde das Okta-Sicherheitsteam darauf aufmerksam gemacht, dass ein neuer Faktor zum Okta-Konto eines Sitel-Kundendiensttechnikers hinzugefügt wurde. Dieser Faktor war ein Passwort. Obwohl dieser individuelle Versuch erfolglos blieb, haben wir vorsorglich das Konto zurückgesetzt und Sitel benachrichtigt, die eine führende forensische Firma mit der Durchführung einer Untersuchung beauftragten.

Die folgende Zeitleiste umreißt die wichtigsten Meilensteine:

Zeitleiste (Zeiten in UTC)

  • 20. Januar 2022, 23:18 Uhr - Okta Security erhielt eine Warnmeldung, dass ein neuer Faktor zum Okta-Konto eines Sitel-Mitarbeiters von einem neuen Standort hinzugefügt wurde. Das Ziel hat eine MFA-Aufforderung nicht akzeptiert, wodurch der Zugriff auf das Okta-Konto verhindert wurde.
  • 20. Januar 2022, 23:46 Uhr - Okta Security untersuchte die Warnmeldung und eskalierte sie zu einem Sicherheitsvorfall. 
  • 21. Januar 2022, 00:18 Uhr - Der Okta Service Desk wurde dem Vorfall hinzugefügt, um bei der Eindämmung des Benutzerkontos zu helfen. 
  • 21. Januar 2022, 00:28 Uhr - Der Okta Service Desk beendete die Okta-Sitzungen des Benutzers und sperrte das Konto, bis die Ursache der verdächtigen Aktivität identifiziert und behoben werden konnte.
  • 21. Januar 2022, 18:00 Uhr - Okta Security teilte Sitel Indicators of Compromise mit. Sitel teilte uns mit, dass sie externe Unterstützung von einer führenden forensischen Firma erhalten haben. 
  • 21. Januar 2022 bis 10. März 2022 - Die Untersuchung und Analyse des Vorfalls durch die forensische Firma wurde bis zum 28. Februar 2022 durchgeführt, wobei der Bericht an Sitel vom 10. März 2022 datiert ist.
  • 17. März 2022 - Okta erhielt einen zusammenfassenden Bericht über den Vorfall von Sitel
  • 22. März 2022, 03:30 Uhr – Von LAPSUS$ online geteilte Screenshots
  • 22. März 2022, 05:00 Uhr - Okta Security stellte fest, dass die Screenshots mit dem Vorfall im Januar bei Sitel in Zusammenhang standen. 
  • 22. März 2022, 12:27 Uhr - Okta erhielt den vollständigen Untersuchungsbericht von Sitel

Ich bin sehr enttäuscht über den langen Zeitraum, der zwischen unserer Benachrichtigung an Sitel und der Herausgabe des vollständigen Untersuchungsberichts verstrichen ist. Nach reiflicher Überlegung hätten wir, nachdem wir den zusammenfassenden Bericht von Sitel erhalten hatten, schneller handeln müssen, um seine Auswirkungen zu verstehen.

Unsere Untersuchung ergab, dass die Screenshots, die nicht im zusammenfassenden Bericht von Sitel enthalten waren, von dem Computer eines Sitel-Supporttechnikers stammten, auf den ein Angreifer über RDP-Remotezugriff erlangt hatte. Dieses Gerät war Eigentum von Sitel und wurde von Sitel verwaltet. Das Szenario ist hier analog dazu, wenn man im Café seinen Computer unbeaufsichtigt lässt, wobei sich ein Fremder (in diesem Fall virtuell) an Ihren Rechner setzt und Maus und Tastatur benutzt. Während der Angreifer also nie über eine Kontoübernahme Zugriff auf den Okta-Dienst erlangte, wurde ein Rechner kompromittiert, der bei Okta angemeldet war, und er konnte Screenshots erhalten und den Rechner über die RDP-Sitzung steuern.

Es ist wichtig zu verstehen, dass der Zugriff, den ein Supporttechniker hat, auf grundlegende Aufgaben bei der Bearbeitung eingehender Supportanfragen beschränkt ist. Supporttechniker verwenden eine Reihe von Kundendiensttools, um ihre Arbeit zu erledigen, darunter Okta-Instanzen von Jira, Slack, Splunk, RingCentral und Support-Tickets über Salesforce. Der Großteil der Support-Engineering-Aufgaben wird mit einer intern entwickelten Anwendung namens SuperUser oder kurz SU durchgeführt, mit der grundlegende Verwaltungsfunktionen von Okta-Kunden-Tenants durchgeführt werden. Dies bietet keinen „gottähnlichen Zugriff“ auf alle Benutzer. Dies ist eine Anwendung, die unter Berücksichtigung des geringsten Privilegs entwickelt wurde, um sicherzustellen, dass Supporttechnikern nur der spezifische Zugriff gewährt wird, den sie zur Ausübung ihrer Rolle benötigen. Sie können keine Benutzer erstellen oder löschen. Sie können keine Kundendatenbanken herunterladen. Sie können nicht auf unsere Quellcode-Repositories zugreifen. 

Der Bericht der forensischen Firma hob hervor, dass es ein fünftägiges Zeitfenster zwischen dem 16. und 21. Januar 2022 gab, in dem der Bedrohungsakteur Zugriff auf die Sitel-Umgebung hatte, was wir mit unserer eigenen Analyse validiert haben. 

Bei dem Versuch, den Explosionsradius für diesen Vorfall einzugrenzen, ging unser Team vom Worst-Case-Szenario aus und untersuchte alle Zugriffe aller Sitel-Mitarbeiter auf die SuperUser-Anwendung für den fraglichen Fünf-Tages-Zeitraum. In den letzten 24 Stunden haben wir mehr als 125.000 Protokolleinträge analysiert, um festzustellen, welche Aktionen von Sitel während des relevanten Zeitraums durchgeführt wurden. Wir haben festgestellt, dass die maximalen potenziellen Auswirkungen 366 Kunden (ca. 2,5 %) betreffen, deren Okta-Tenant von Sitel aufgerufen wurde.  

Aufgrund des Zugriffs, den die Supporttechniker hatten, waren die Informationen und die Aktionen eingeschränkt. Auch wenn dies kein notwendiger Schritt für die Kunden ist, gehen wir davon aus, dass sie ihre eigene Analyse durchführen möchten. Aus Gründen der Transparenz erhalten diese Kunden einen Bericht, aus dem die Aktionen hervorgehen, die von Sitel in diesem Zeitraum in ihrem Okta-Tenant durchgeführt wurden. Wir glauben, dass dies der beste Weg ist, um die Kunden die Situation selbst beurteilen zu lassen. 

Wie bei allen Sicherheitsvorfällen gibt es viele Möglichkeiten für uns, unsere Prozesse und unsere Kommunikation zu verbessern. Ich bin zuversichtlich, dass wir uns in die richtige Richtung bewegen und dieser Vorfall unsere Verpflichtung zur Sicherheit nur verstärken wird.

Klicken Sie hier, um frühere Aktualisierungen und öffentliche Erklärungen bezüglich der Kompromittierung vom Januar anzuzeigen: https://www.okta.com/blog/2022/03/updated-okta-statement-on-lapsus/

Über den Autor/die Autorin

David Bradbury

Chief Security Officer

David Bradbury is the Chief Security Officer at Okta. He oversees security execution, and is responsible for a team navigating the evolving threat landscape to best protect employees and customers. He is also at the forefront of helping Okta’s customers adopt and accelerate Zero Trust security strategies.

Prior to Okta, David was the Senior Vice President and Chief Security Officer at Symantec where he oversaw all cyber security and physical security programs. He has an international reputation for leading and delivering cybersecurity at scale. David has worked across the globe from his native Australia to the UK and the US, leading highly regarded security teams at some of the world’s largest banks including ABN AMRO, Barclays, Morgan Stanley and the Commonwealth Bank of Australia.

David has a Bachelor’s Degree in Computer Science from the University of Sydney.

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Jetzt starten
Kontaktieren Sie uns