Laut Okta waren 366 Unternehmenskunden oder etwa 2,5 % seines Kundenstamms von einer Sicherheitsverletzung betroffen, die es Hackern ermöglichte, auf das interne Netzwerk des Unternehmens zuzugreifen.
Der Authentifizierungsgigant gab die Kompromittierung zu, nachdem die Hacking- und Erpressungsgruppe Lapsus$ am Montag Screenshots von Oktas Apps und Systemen veröffentlicht hatte, etwa zwei Monate nachdem die Hacker zum ersten Mal Zugang zu seinem Netzwerk erhalten hatten.
Die Verletzung wurde ursprünglich einem namentlich nicht genannten Unterauftragsverarbeiter angelastet, der Okta Kundenbetreuungsdienste anbietet. In einem (n aktualisierte Aussage Am Mittwoch bestätigte David Bradbury, Chief Security Officer von Okta, dass es sich bei dem Unterauftragsverarbeiter um ein Unternehmen namens Sykes handelt, das letztes Jahr von dem in Miami ansässigen Contact-Center-Giganten Sitel übernommen wurde.
Kundensupportunternehmen wie Sykes und Sitel haben oft umfassenden Zugriff auf die Organisationen, die sie unterstützen, um Kundenanfragen zu erleichtern. Böswillige Hacker haben zuvor Kundensupport-Unternehmen ins Visier genommen, die oft schwächere Abwehrmechanismen für die Cybersicherheit haben als einige der hochsicheren Unternehmen, die sie unterstützen. Microsoft und Roblox haben beide ähnliche gezielte Kompromittierungen der Konten von Kundendienstmitarbeitern erlebt, die zum Zugriff auf ihre internen Systeme geführt haben.
Im Fall von Okta waren die Lapsus$-Hacker laut Bradbury fünf Tage lang vom 16. bis 21. Januar 2022 im Sitel-Netzwerk, bis die Hacker entdeckt und aus dem Netzwerk gebootet wurden.
Okta wurde von der breiteren Sicherheitsbranche wegen des Umgangs mit der Kompromittierung und der monatelangen Verzögerung bei der Benachrichtigung der Kunden, die gleichzeitig herausfand, erheblich kritisiert Nachrichten brachen in den sozialen Medien. Laut Bradbury beauftragte Sitel eine ungenannte Forensikfirma mit der Untersuchung, die am 10. März abgeschlossen wurde. Nur eine Woche später wurde der Bericht am 17. März an Okta übergeben.
Bradbury sagte, er sei „sehr enttäuscht von der langen Zeitspanne, die zwischen unserer Benachrichtigung an Sitel und der Veröffentlichung des vollständigen Untersuchungsberichts verstrichen ist“, und gab zu, dass Okta „schneller hätte handeln sollen“, um die Auswirkungen des Berichts zu verstehen.
Aber eine E-Mail von einem Sitel-Vertreter bestritt, wie Okta den Bericht charakterisierte, und sagte, dass die Sicherheitsverletzung „keine Auswirkungen auf ältere Systeme oder Netzwerke der Sitel-Gruppe hatte; nur das alte Sykes-Netzwerk war betroffen.“ (Der Sitel-Vertreter erklärte seine E-Mail für „off the record“, was erfordert, dass beide Parteien den Bedingungen im Voraus zustimmen. Wir drucken die Antworten ab, da wir keine Möglichkeit hatten, abzulehnen.) Die E-Mail fügte hinzu: „Wir haben keine Beweise gefunden eines Sicherheitsverstoßes in den Systemen oder Netzwerken des Kunden auf der Seite des alten Sykes oder der Sitel Group.“ In der E-Mail heißt es auch, dass Sitel keine Beweise für eine Datenschutzverletzung hat, aber das Unternehmen lehnte es ab zu sagen, ob es über die Mittel wie Protokolle verfügt, um festzustellen, auf welche Daten die Angreifer zugegriffen oder sie exfiltriert haben. Sitel wollte die forensische Firma, die den Verstoß untersucht hat, nicht nennen.
In einer früheren Erklärung, die Sitel-Sprecherin Rebecca Sanders zugeschrieben wird, heißt es: „Als Ergebnis der Untersuchung und unserer laufenden Bewertung externer Bedrohungen sind wir zuversichtlich, dass kein Sicherheitsrisiko mehr besteht. Wir können unsere Beziehung zu bestimmten Marken oder die Art der Dienstleistungen, die wir für unsere Kunden erbringen, nicht kommentieren.“
Okta hat noch nicht auf die Fragen von Tech bezüglich des Verstoßes geantwortet.