Bij de aanval op authentificatieplatform Okta zijn door de daders mogelijk toch klantgegevens ingezien. Het gaat om data van zo’n 2,5 procent van de klanten van Okta. Zij zijn inmiddels door het bedrijf geïnformeerd.
Dit meldt Okta in een update over de recente cyberaanval. De aanvalsgroep Lapsus$ claimde onlangs bij Okta te hebben toegeslagen. Chief Security Officer (CSO) David Bradbury meldde eerder dat Okta in januari ‘een mislukte poging’ had gedecteerd om binnen te dringen op het account van een support engineer. Er zijn toen maatregelen genomen en er werd ook nader onderzoek uitgevoerd naar de aanvalspoging.
Grondige analyse
Uit dat onderzoek bleek dat een aanvaller in de periode van 16 tot en met 21 januari 2022 wel degelijk toegang had tot de laptop van een support engineer. Dit komt overeen met een screenshot die Lapsus$ op Telegram heeft gedeeld. Bradbury stelde toen echter dat ‘de potentiële impact op Okta-klanten beperkt was gebleven door de toegangsrechten die support engineers hebben’. De engineers zouden niet in staat zijn gebruikers aan te maken of te verwijderen, noch om klantdatabases te downloaden. ‘Wel hebben ze de mogelijkheid om wachtwoorden en multifactor-authenticaties van gebruikers te resetten, maar ze hebben geen toegang tot de wachtwoorden zelf’, klonk het destijds.
Maar dat blijkt nu dus iets te optimistisch, want in een nieuwe blogpost schrijft de CSO het volgende: ‘Na een grondige analyse hebben we geconcludeerd dat de gegevens van een klein deel van de klanten, ongeveer 2,5 procent, mogelijk toch zijn bekeken of gebruikt. We hebben die klanten geïdentificeerd en per e-mail contact met hen opgenomen’.
In samenwerking met Dutch IT-channel.
