[ziesell]

Zitat:

Sessioncookies: Hacker erbeuten Zugangscodes bei Identitätsdienst Okta

Der Identitätsdienst Okta ist ein weiteres Mal das Einfallstor für Hacker gewesen. Dieses Mal betraf es Daten des Kundensupports.



Der Identitäts-Management-Anbieter Okta hat einen internen Sicherheitsvorfall eingeräumt. Angreifern sei es gelungen, sich mit gestohlenen Zugangsdaten Zugriff auf das Kundendienstsystem von Okta zu verschaffen, teilte Sicherheitschef David Bradbury in einem Blogbeitrag vom 20. Oktober 2023 mit. Der Angreifer konnte dadurch auf sensible Daten zugreifen, die von Okta-Kunden hochgeladen worden waren.

Okta macht keine genauen Angaben, wie viele seiner mehr als 18.000 Kunden davon betroffen sind. Das Unternehmen sagte dem Sicherheitsportal Krebsonsecurity, dass es nur einen "sehr, sehr kleinen Anteil" betreffe.

Zu den Kunden zählte unter anderem der US-amerikanische Zugangsdienstanbieter Beyondtrust. Dessen Sicherheitsteam entdeckte einem Blogbeitrag zufolge bereits Anfang Oktober 2023 einen Angreifer, der versuchte, mit einem gültigen Sitzungscookie, das aus dem Support-System von Okta kopiert worden war, auf ein internes Okta-Administratorkonto zuzugreifen.

Zwar hätten interne Richtlinien die anfänglichen Aktivitäten des Angreifers blockiert, aber Einschränkungen im Sicherheitsmodell von Okta hätten es ihm ermöglicht, begrenzte Aktionen auszuführen. Durch die Entdeckung des Angreifers und eine Warnung an das Team sei erreicht worden, dass der Angreifer keinen Zugriff auf IT-Systeme habe erlangen können.

Sessioncookies in HAR-Datei hochgeladen

Ermöglicht wurde der Angriff auf Beyondtrust dadurch, dass der Okta-Support seine Kunden bittet, eine HTTP-Archivdatei (HAR) hochzuladen, die die Fehlerbehebung durch Replikation der Browseraktivität ermöglicht. Im Falle von Beyondtrust erfolgte der Angriff bereits 30 Minuten, nachdem ein Mitarbeiter eine solche Datei auf Anweisung von Okta hochgeladen hatte.

"HAR-Dateien können auch sensible Daten enthalten, darunter Cookies und Sitzungs-Tokens, die von böswilligen Akteuren genutzt werden können, um sich als gültige Benutzer auszugeben", schreibt Sicherheitschef Bradbury. Generell empfehle Okta, alle Anmeldedaten und Cookies oder Session-Tokens in einer HAR-Datei zu säubern, bevor sie weitergegeben würden.

Obwohl Beyondtrust bereits am 3. Oktober das Sicherheitsteam von Okta informierte, wurde der Sicherheitsvorfall von dem Unternehmen erst am 17. Oktober erkannt und am 19. Oktober eingeräumt.

Schwere Angriffe durch Social Engineering

Bereits Ende August 2023 hatte Okta neuartige Angriffe auf Kunden seiner Identitätsmanagementsysteme eingeräumt. Per Social Engineering sollten Servicedesk-Mitarbeiter davon überzeugt werden, alle Multi-Faktor-Authentifizierungsfaktoren (MFA) zurückzusetzen, die von hoch privilegierten Benutzern registriert worden waren. In den vergangenen Wochen war es Hackern unter anderem gelungen, in die Systeme der US-Kasinokette MGM einzudringen und die Spielautomaten in Las Vegas lahmzulegen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]