Okta-hack laat zien hoe kwetsbaar digitale authenticatie is

De afgelopen dagen is duidelijk geworden hoe een hack op Okta grote gevolgen heeft voor klanten van het bedrijf. Met de buitgemaakte data kunnen cybercriminelen namelijk inloggen op systemen van klanten. Daarnaast laat het nog maar eens zien hoe kwetsbaar onze digitale identiteiten zijn.

Eerdere deze week maakte Okta melding dat er data is gestolen uit het ticketsysteem van zijn klantenservice. De data die is buitgemaakt bevat echter zeer gevoelige gegevens, waarmee cybercriminelen nu ook eenvoudig toegang kunnen krijgen tot systemen van de klanten van Okta.

Okta is een zogenaamde identity and access management (IAM)-oplossing, een concurrent van bijvoorbeeld Microsoft (Azure) Active Directory. Okta beheert het adresboek van bedrijven waarin alle medewerkers en hun logingegevens zijn opgenomen. Zodra een medewerker ergens probeert in te loggen wordt die sessie door Okta gecontroleerd. Het is dus een cruciaal onderdeel in een bedrijfsnetwerk.

Slimme hack op klantenservice (helpdesk)

Zoals met alle software-oplossingen gaat er weleens wat mis en heb je als organisatie ondersteuning nodig. Bijvoorbeeld om uit te zoeken waarom iets niet goed werkt bij een bepaalde groep gebruikers of in een browsersessie. Dit geldt ook voor de klanten van Okta en die kunnen daarvoor terecht bij de klantenservice van het bedrijf.

Met problemen zoals eerder beschreven is het vaak het makkelijkste wanneer de klantenservice-medewerker bij Okta het probleem kan repliceren, oftewel zelf kan ervaren waar het mogelijk misgaat. Okta vraagt dan vaak om een zogenaamd HTTP Archive (HAR) bestand te uploaden. Deze bestanden bevatten browserhistorie, sessies en cookies. Hiermee kan de klantenservicemedewerker dan nabootsen wat de gebruiker probeert te doen en waar het misgaat.

Toegang tot sessies en cookies

Hackers zijn er nu echter in geslaagd om middels phishing toegang te krijgen tot het klantenservicesysteem van Okta en konden hierdoor de door klanten aangeleverde HAR-bestanden downloaden. Vervolgens hebben de cybercriminelen al die HAR bestanden doorzocht op sessies en cookies en proberen ze die nu te gebruiken om toegang te krijgen tot systemen van klanten.

Onder meer 1Password en Cloudflare hebben al bekendgemaakt dat ze kwaadaardige activiteiten hebben gedetecteerd die zijn terug te herleiden naar HAR-bestanden bij Okta. De kans bestaat echter dat dit nog maar het tipje van de sluier is.

Okta stelt dat het normaliter aanbeveelt om alle cookies en sessietokens te verwijderen in HAR-bestanden voordat ze worden gedeeld. In de praktijk gebeurt dit waarschijnlijk niet vaak, omdat klanten een oplossing zoeken voor hun probleem en Okta een betrouwbare leverancier is.

Kwetsbaarheid van online authenticatie

Het heeft uiteindelijk enkele weken geduurd tot Okta doorhad wat er precies is gebeurd. Klanten van Okta zagen al veel eerder hoe kwaadwillende probeerden binnen te komen of binnenkwamen en probeerde hun rechten aan te passen, waardoor ze alsnog werden gepakt. Okta heeft inmiddels contact gezocht met klanten die HAR-bestanden hebben aangeleverd die mogelijk zijn buitgemaakt.

Belangrijker aan dit verhaal is dat het laat zien hoe kwetsbaar online authenticatie werkelijk is. Zodra cybercriminelen toegang weten te krijgen tot sessies en cookies kunnen ze de browsersessie van de klant nabootsen en zichzelf toegang verschaffen tot allerlei online systemen. Sommige SaaS-providers hebben hier nog wel wat additionele beveiligingen voor, maar veel ook nog niet.

Wij delen dit artikel van techzine, om dergelijke hacks onder de aandacht te brengen. De gevolgen zijn voor de getroffene immers super groot.

Laatste blogs

uwv eindhoven
Nieuws
Samenwerking met het UWV: Superlogisch!
Afgelopen maand ging de telefoon. “Hallo, met Ron van het UWV.” Mijn eerste gedachte was: “Wat heb ik nu weer gedaan?” Na mijn vorige baan had ik niet verwacht het UWV snel nodig te hebben. Wat bleek? Het UWV had onze vacature gezien en een geschikte kandidaat gevonden. Mijn eerste reactie was sceptisch: “Echt? Het UWV een kandidaat?” Maar als Kempisch bedrijf moeten we geen vooroordelen hebben. Het is een kleine wereld, dus vooruit met de geit. De goede daad van deze maand: luisteren naar de UWV-kandidaat. 😉 Tot onze grote verbazing (want zoals velen hadden wij vooroordelen over het…
Blog
De Impact van Trumps Herverkiezing op Cyberveiligheid in Europa
Afgelopen weekend was er veel over dit onderwerp te doen. Voor ons een reden tot onderzoek. In dit blog een samenvatting van onze bevindingen. De herverkiezing van Donald Trump als president van de Verenigde Staten heeft wereldwijd veel reacties uitgelokt, en Europa is geen uitzondering. Een van de belangrijkste gebieden waar zijn herverkiezing invloed op kan hebben, is cyberveiligheid. In deze blog onderzoeken we de mogelijke gevolgen voor Europa. Veranderende Prioriteiten in de VS Onder Trump heeft de VS een meer isolationistische benadering aangenomen, wat zou kunnen betekenen dat er minder samenwerking is op het gebied van cyberveiligheid. Dit kan…
inbound smtp dane with dnssec for exchange
Blog
Microsoft rolt inbound SMTP DANE en DNSSEC uit in Exchange Online
Wat doen ze hoor ik veel mensen denken? In de steeds veranderende wereld van digitale communicatie is e-mailbeveiliging een topprioriteit geworden voor bedrijven van elke omvang. Microsoft heeft onlangs een belangrijke stap gezet door inbound SMTP DANE (DNS-based Authentication of Named Entities) met DNSSEC (Domain Name System Security Extensions) algemeen beschikbaar te maken voor klanten van Exchange Online, onderdeel van Microsoft 365. Maar wat betekent dit precies en waarom is het zo belangrijk voor onze klanten en MKB-bedrijven? Wij zetten dit even #superlogisch onder elkaar. Wat is SMTP DANE en DNSSEC? SMTP DANE is een protocol dat helpt bij het…

Een nieuwsbrief

Superlogisch toch?