Casino-Cyberangriff: Zugangscodes beim Identitätsdienst Okta erbeutet
Cyberkriminelle wurden Zugriffstoken von Oktas Support-Einheit habhaft. Die US-Firma warnte jüngst vor Social-Engineering-Attacken auf Service-Personal.
Der Identitäts- und Zugangsverwaltungsdienstleister Okta hat eine massive Sicherheitspanne eingeräumt, bei der seine Kundendienstabteilung kompromittiert wurde. Das kalifornische Unternehmen, das tausenden Firmen Identitätslösungen wie Multi-Faktor-Authentifizierung und Cloud-basiertes Single Sign-On bereitstellt, erklärte am Freitag: Man habe "gegnerische Aktivitäten identifiziert, die den Zugriff auf gestohlene Zugangsdaten nutzten, um auf das Support-Fallverwaltungssystem von Okta zuzugreifen. Der Angreifer habe Dateien einsehen können, die bestimmte Kunden im Rahmen aktueller Support-Fälle hochgeladen hätten. Der Okta-Produktionsdienst sei aber voll funktionsfähig und nicht beeinträchtigt worden.
"Nur eine kleine Anzahl betroffen"
Nach Informationen des Fachdienstes Krebs on Security hatten die Hacker mindestens zwei Wochen lang Zugriff auf die Kundendienst-Plattform, bevor das Unternehmen den Einbruch vollständig eindämmen konnte. Okta selbst behaupte, von dem Vorfall sei nur eine "sehr kleine Anzahl" von Abnehmer betroffen gewesen. Diese seien alle benachrichtigt worden, betonen die Kalifornier in einem Blogeintrag.
Die Enthüllung folgt nur wenige Wochen nach den Hackerangriffen auf die Casino- und Hotel-Giganten Caesars Entertainment und MGM Resorts, insbesondere mit Auswirkungen auf Las Vegas. In beiden Fällen gelang es den Angreifern, Mitarbeiter durch Social Engineering dazu zu bringen, die Multi-Faktor-Anmeldeanforderungen für Okta-Administrator-Konten zurückzusetzen. Der Dienstleister selbst warnte im September vor einschlägigen Angriffen auf IT-Service-Personal. Oktas Sicherheitschef David Bradbury räumte wenig später ein, dass seit August fünf Kunden der Firma Opfer der Cyberbanden ALPHV aka BlackCat und Scattered Spider alias UNC3944 geworden seien. Neben MGM und Caesars soll es sich um Produktions-, Handels- und Technologie-Betriebe handeln.
Kunden bemerkten Vorfall
Mittlerweile ist klar: Auch die IT-Sicherheitsfirma BeyondTrust gehört zu den Okta-Kunden, die am Donnerstag die einschlägige Warnung erhielt. Diese hatte Okta nach eigenen Angaben schon vor rund zwei Wochen auf ein potenzielles Problem aufmerksam gemacht. Zuvor hatte ein eigenes Security-Tool von BeyondTrust die Attacke gemeldet. Der Zugang wurde direkt blockiert, Kunden seien nicht betroffen: "Benutzerdefinierte Kontrollrichtlinien blockierten die anfängliche Aktivität des Angreifers, aber Einschränkungen im Sicherheitsmodell von Okta ermöglichten ihm die Durchführung einiger begrenzter Aktionen."
Okta weist darauf hin, dass man bei der Behebung von Problemen Kunden oft nach einer Aufzeichnung einer Webbrowser-Sitzung – auch bekannt als HTTP-Archiv oder HAR-Datei – frage. Dabei handelt es sich um vertrauliche Dateien, da sie in diesem Fall Cookies und Sitzungstoken enthalten. Eindringlinge könnten diese verwenden, um sich als legitime Nutzer auszugeben. Es seien "Maßnahmen zum Schutz unserer Kunden ergriffen" worden, "einschließlich der Sperrung eingebetteter Sitzungstoken". Generell empfiehlt Okta, HAR-Dateien zu bereinigen, bevor sie freigegeben werden. Der Dienstleister nennt zudem "Indikatoren für eine Kompromittierung" wie IP-Adressen und Browser, die die Angreifer voraussichtlich benutzt haben. Dabei handle es sich mehrheitlich um kommerzielle VPN-Dienste.
(mack)