Okta: datalek door werknemer die wachtwoord in privé Google-account opsloeg
Het gevoelige datalek bij authenticatieplatform Okta, waar 134 bedrijven slachtoffer van werden, is mede veroorzaakt door een medewerker die het wachtwoord voor het supportsysteem in zijn privé Google-account op zijn zakelijk beheerde laptop had opgeslagen. Dat stelt Okta op basis van onderzoek naar het incident.
Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Een aanvaller wist in te breken op het supportsysteem van Okta en kon zo gevoelige gegevens stelen die klanten met supportmedewerkers delen. Met de gestolen klantgegevens, waaronder sessietokens, wist de aanvaller vervolgens in te loggen op de Okta-omgeving van getroffen klanten.
Volgens Okta heeft de aanvaller van 28 september tot en met 17 oktober toegang tot het supportsysteem gehad en daarbij de gegevens van 134 klanten in handen gekregen. Bij vijf klanten wist de aanvaller met gestolen sessietokens op de klantomgeving in te loggen. Drie van deze klanten, BeyondTrust, Cloudflare en 1Password, hebben de inbraak zelf bekendgemaakt. Eerder uitte Cloudflare nog felle kritiek op Okta, omdat het vond dat het bedrijf meldingen over de inbraak niet serieus had genomen.
Google-account
Om toegang tot het supportsysteem te krijgen maakte de aanvaller gebruik van een service-account. Dit account had rechten om supportverzoeken van klanten te bekijken en te bewerken. Okta stelt dat een medewerker op zijn zakelijk beheerde laptop op zijn eigen privé Google-account was ingelogd en toen de inloggegevens voor het service-account daarin heeft opgeslagen. Volgens Okta zijn de inloggegevens zeer waarschijnlijk gestolen doordat de aanvallers toegang tot het privé Google-account of een privé apparaat van deze medewerker hebben gekregen.
Om herhaling van een dergelijk incident te voorkomen heeft Okta verschillende maatregelen genomen, waaronder het blokkeren van het gebruik van persoonlijke profielen in Google Chrome. Het authenticatieplatform zegt een specifieke maatregel binnen Chrome Enterprise te hebben ingesteld die voorkomt dat medewerkers op hun zakelijke Okta-laptop met een persoonlijk Google-account kunnen inloggen.
En hoevelen doen dat die persoon wel niet dagelijks na. (mn niet-ICTers)
Hun zakelijke wachtwoorden opslaan in de browser. Al dan niet terwijl ze daar met een prive web-account op ingelogd zijn. Velen zullen het onderscheid niet eens kunnen maken.
Het is natuurlijk wel weer schrijnend dat het een supportmedewerker overkomt.
Zou die niet beter moeten weten?
Of hoeven medewerkers van de support-afdeling dat soort kennis niet te hebben?
Aangezien Okta een authenticatie platform is, waarschijnlijk wel.
Gewoon slecht ingericht, een service account hoort sowieso niks in een gui te kunnen.
Daarnaast zijn er nog weet ik hoeveel maatregelen die men had kunnen treffen.
Wat een dom bedrijf dat ze niet eens een password kluis voor iedereen heeft geregeld anders sla je geen ww op in een prive google account. Daarnaast beter selecteren bij de poort.
Maar dat is omslachtig. Het is dan veel handiger het in je privé account op te slaan. Ik neem aan dat het zakelijke google account wel de betere bescherming had.
Maar dat is omslachtig. Het is dan veel handiger het in je privé account op te slaan. Ik neem aan dat het zakelijke google account wel de betere bescherming had.
Funny.
Des te belangrijker dat je voor een service account MFA gebruikt, hoe meer rechten een account heeft des te belangrijker de beveiliging is.
Aangezien Okta een authenticatie platform is, waarschijnlijk wel.
Was ook maar een cynische opmerking, ik ken Okta (helaas).
[quite]
Gewoon slecht ingericht, een service account hoort sowieso niks in een gui te kunnen.
Daarnaast zijn er nog weet ik hoeveel maatregelen die men had kunnen treffen.[/quote]
Maar dat is omslachtig. Het is dan veel handiger het in je privé account op te slaan. Ik neem aan dat het zakelijke google account wel de betere bescherming had.
Google biedt helemaal geen bescherming. Integendeel zelfs, door Google hebben duizenden mensen en machines toegang tot jouw en alle andere accounts. Ennehhh bij Microsoft en Apple zal het geen haar beter zijn.
Voor nog meer redenen om chrome vooral links (of rechts natuurlijk ...) te laten liggen zie: https://contrachrome.com/
Des te belangrijker dat je voor een service account MFA gebruikt, hoe meer rechten een account heeft des te belangrijker de beveiliging is.
Dat ligt er natuurlijk aan wat je definitie van "een Service Account" is!
Identity kan zorgen voor geweldige user experiences, het aantal aanmeldingen van klanten vergroten,
de productiviteit van werknemers verbeteren en apps sneller in de markt zetten.
Hoe geloofwaardig is OKTA als men het onder het eigen personeel slecht geregeld heeft, een blamage voor de bescherming van IDENTITEIT
Aanmelden
Neem contact met ons op
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.