Okta-hack laat zien hoe kwetsbaar digitale authenticatie is

De afgelopen dagen is duidelijk geworden hoe een hack op Okta grote gevolgen heeft voor klanten van het bedrijf. Met de buitgemaakte data kunnen cybercriminelen namelijk inloggen op systemen van klanten. Daarnaast laat het nog maar eens zien hoe kwetsbaar onze digitale identiteiten zijn.

Eerdere deze week maakte Okta melding dat er data is gestolen uit het ticketsysteem van zijn klantenservice. De data die is buitgemaakt bevat echter zeer gevoelige gegevens, waarmee cybercriminelen nu ook eenvoudig toegang kunnen krijgen tot systemen van de klanten van Okta.

Okta is een zogenaamde identity and access management (IAM)-oplossing, een concurrent van bijvoorbeeld Microsoft (Azure) Active Directory. Okta beheert het adresboek van bedrijven waarin alle medewerkers en hun logingegevens zijn opgenomen. Zodra een medewerker ergens probeert in te loggen wordt die sessie door Okta gecontroleerd. Het is dus een cruciaal onderdeel in een bedrijfsnetwerk.

Slimme hack op klantenservice (helpdesk)

Zoals met alle software-oplossingen gaat er weleens wat mis en heb je als organisatie ondersteuning nodig. Bijvoorbeeld om uit te zoeken waarom iets niet goed werkt bij een bepaalde groep gebruikers of in een browsersessie. Dit geldt ook voor de klanten van Okta en die kunnen daarvoor terecht bij de klantenservice van het bedrijf.

Met problemen zoals eerder beschreven is het vaak het makkelijkste wanneer de klantenservice-medewerker bij Okta het probleem kan repliceren, oftewel zelf kan ervaren waar het mogelijk misgaat. Okta vraagt dan vaak om een zogenaamd HTTP Archive (HAR) bestand te uploaden. Deze bestanden bevatten browserhistorie, sessies en cookies. Hiermee kan de klantenservicemedewerker dan nabootsen wat de gebruiker probeert te doen en waar het misgaat.

Toegang tot sessies en cookies

Hackers zijn er nu echter in geslaagd om middels phishing toegang te krijgen tot het klantenservicesysteem van Okta en konden hierdoor de door klanten aangeleverde HAR-bestanden downloaden. Vervolgens hebben de cybercriminelen al die HAR bestanden doorzocht op sessies en cookies en proberen ze die nu te gebruiken om toegang te krijgen tot systemen van klanten.

Onder meer 1Password en Cloudflare hebben al bekendgemaakt dat ze kwaadaardige activiteiten hebben gedetecteerd die zijn terug te herleiden naar HAR-bestanden bij Okta. De kans bestaat echter dat dit nog maar het tipje van de sluier is.

Okta stelt dat het normaliter aanbeveelt om alle cookies en sessietokens te verwijderen in HAR-bestanden voordat ze worden gedeeld. In de praktijk gebeurt dit waarschijnlijk niet vaak, omdat klanten een oplossing zoeken voor hun probleem en Okta een betrouwbare leverancier is.

Kwetsbaarheid van online authenticatie

Het heeft uiteindelijk enkele weken geduurd tot Okta doorhad wat er precies is gebeurd. Klanten van Okta zagen al veel eerder hoe kwaadwillende probeerden binnen te komen of binnenkwamen en probeerde hun rechten aan te passen, waardoor ze alsnog werden gepakt. Okta heeft inmiddels contact gezocht met klanten die HAR-bestanden hebben aangeleverd die mogelijk zijn buitgemaakt.

Belangrijker aan dit verhaal is dat het laat zien hoe kwetsbaar online authenticatie werkelijk is. Zodra cybercriminelen toegang weten te krijgen tot sessies en cookies kunnen ze de browsersessie van de klant nabootsen en zichzelf toegang verschaffen tot allerlei online systemen. Sommige SaaS-providers hebben hier nog wel wat additionele beveiligingen voor, maar veel ook nog niet.

Wij delen dit artikel van techzine, om dergelijke hacks onder de aandacht te brengen. De gevolgen zijn voor de getroffene immers super groot.

Recent blogs

NIS2 richtlijn
News
Waarom Analyst ICT werkt aan NIS2 certificering
Bij Analyst ICT zijn we trots op onze bestaande certificeringen: ISO 27001, ISO 9001 en NEN7510. Deze certificeringen tonen aan dat we voldoen aan internationale normen voor informatiebeveiliging, kwaliteitsmanagement en zorginformatieveiligheid. Maar we stoppen niet daar. We zijn hard aan het werk om ook NIS2-certificering te behalen, en de eerste stappen zijn al gezet. Zo tonen als bewijs dat wij actief werken aan het verkrijgen van de volledige NIS2 Quality Mark Certificering. Dit laat zien dat wij het naleven van de NIS2-richtlijnen en het waarborgen van de veiligheid van onze systemen en gegevens als een superlogische stap beschouwen. Wat is…
Analyst ICT SIEM
News
Wat is een SIEM en waarom is het een belangrijk onderdeel van onze SOC?
Na onze blog over onze SOC, is het nu tijd om een nieuwe term aan jullie te introduceren namelijk SIEM. In dit superlogische blog leggen we even uit hoe en wat. Bij Analyst ICT zetten we ons dagelijks in om de digitale veiligheid van onze klanten te waarborgen. Met de introductie van ons eigen Security Operations Center (SOC) hebben we een superlogische stap gezet in het versterken van onze dienstverlening. Een cruciaal onderdeel van dit SOC is de SIEM-oplossing. Maar wat is een SIEM precies, en waarom is het zo belangrijk? SIEM uitgelegd: de digitale waakhond SIEM staat voor Security Information…
Analyst ICT SOC
News
Wij hebben nu een Security Operations Center (SOC)
Bij Analyst ICT zijn we trots om aan te kondigen dat ons Security Operations Center (SOC) nu volledig operationeel is. Met deze nieuwe toevoeging breiden we onze dienstverlening verder uit en versterken we onze inzet om de veiligheid en continuïteit van onze klanten in het midden- en kleinbedrijf (MKB) te waarborgen. In deze blog leggen we uit waarom dit een superlogische stap voor ons is en hoe het SOC in zijn werk gaat. De Noodzaak van een SOC Eén op de vijf Nederlandse organisaties leed het afgelopen jaar schade door een cyberaanval. Voor grote bedrijven gold dit zelfs voor drie…

A newsletter

Superlogic right?