Het gevoelige datalek bij authenticatieplatform Okta, waar 134 bedrijven slachtoffer van werden, is mede veroorzaakt door een medewerker die het wachtwoord voor het supportsysteem in zijn privé Google-account op zijn zakelijk beheerde laptop had opgeslagen. Dat stelt Okta op basis van onderzoek naar het incident.

Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Een aanvaller wist in te breken op het supportsysteem van Okta en kon zo gevoelige gegevens stelen die klanten met supportmedewerkers delen. Met de gestolen klantgegevens, waaronder sessietokens, wist de aanvaller vervolgens in te loggen op de Okta-omgeving van getroffen klanten.

Volgens Okta heeft de aanvaller van 28 september tot en met 17 oktober toegang tot het supportsysteem gehad en daarbij de gegevens van 134 klanten in handen gekregen. Bij vijf klanten wist de aanvaller met gestolen sessietokens op de klantomgeving in te loggen. Drie van deze klanten, BeyondTrust, Cloudflare en 1Password, hebben de inbraak zelf bekendgemaakt. Eerder uitte Cloudflare nog felle kritiek op Okta, omdat het vond dat het bedrijf meldingen over de inbraak niet serieus had genomen.

Google-account

Om toegang tot het supportsysteem te krijgen maakte de aanvaller gebruik van een service-account. Dit account had rechten om supportverzoeken van klanten te bekijken en te bewerken. Okta stelt dat een medewerker op zijn zakelijk beheerde laptop op zijn eigen privé Google-account was ingelogd en toen de inloggegevens voor het service-account daarin heeft opgeslagen. Volgens Okta zijn de inloggegevens zeer waarschijnlijk gestolen doordat de aanvallers toegang tot het privé Google-account of een privé apparaat van deze medewerker hebben gekregen.

Om herhaling van een dergelijk incident te voorkomen heeft Okta verschillende maatregelen genomen, waaronder het blokkeren van het gebruik van persoonlijke profielen in Google Chrome. Het authenticatieplatform zegt een specifieke maatregel binnen Chrome Enterprise te hebben ingesteld die voorkomt dat medewerkers op hun zakelijke Okta-laptop met een persoonlijk Google-account kunnen inloggen.