Okta: datalek door werknemer die wachtwoord in privé Google-account opsloeg
Het gevoelige datalek bij authenticatieplatform Okta, waar 134 bedrijven slachtoffer van werden, is mede veroorzaakt door een medewerker die het wachtwoord voor het supportsysteem in zijn privé Google-account op zijn zakelijk beheerde laptop had opgeslagen. Dat stelt Okta op basis van onderzoek naar het incident.
Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven. Een aanvaller wist in te breken op het supportsysteem van Okta en kon zo gevoelige gegevens stelen die klanten met supportmedewerkers delen. Met de gestolen klantgegevens, waaronder sessietokens, wist de aanvaller vervolgens in te loggen op de Okta-omgeving van getroffen klanten.
Volgens Okta heeft de aanvaller van 28 september tot en met 17 oktober toegang tot het supportsysteem gehad en daarbij de gegevens van 134 klanten in handen gekregen. Bij vijf klanten wist de aanvaller met gestolen sessietokens op de klantomgeving in te loggen. Drie van deze klanten, BeyondTrust, Cloudflare en 1Password, hebben de inbraak zelf bekendgemaakt. Eerder uitte Cloudflare nog felle kritiek op Okta, omdat het vond dat het bedrijf meldingen over de inbraak niet serieus had genomen.
Google-account
Om toegang tot het supportsysteem te krijgen maakte de aanvaller gebruik van een service-account. Dit account had rechten om supportverzoeken van klanten te bekijken en te bewerken. Okta stelt dat een medewerker op zijn zakelijk beheerde laptop op zijn eigen privé Google-account was ingelogd en toen de inloggegevens voor het service-account daarin heeft opgeslagen. Volgens Okta zijn de inloggegevens zeer waarschijnlijk gestolen doordat de aanvallers toegang tot het privé Google-account of een privé apparaat van deze medewerker hebben gekregen.
Om herhaling van een dergelijk incident te voorkomen heeft Okta verschillende maatregelen genomen, waaronder het blokkeren van het gebruik van persoonlijke profielen in Google Chrome. Het authenticatieplatform zegt een specifieke maatregel binnen Chrome Enterprise te hebben ingesteld die voorkomt dat medewerkers op hun zakelijke Okta-laptop met een persoonlijk Google-account kunnen inloggen.
En hoevelen doen dat die persoon wel niet dagelijks na. (mn niet-ICTers)
Hun zakelijke wachtwoorden opslaan in de browser. Al dan niet terwijl ze daar met een prive web-account op ingelogd zijn. Velen zullen het onderscheid niet eens kunnen maken.
Het is natuurlijk wel weer schrijnend dat het een supportmedewerker overkomt.
Zou die niet beter moeten weten?
Of hoeven medewerkers van de support-afdeling dat soort kennis niet te hebben?
Aangezien Okta een authenticatie platform is, waarschijnlijk wel.
Gewoon slecht ingericht, een service account hoort sowieso niks in een gui te kunnen.
Daarnaast zijn er nog weet ik hoeveel maatregelen die men had kunnen treffen.
Wat een dom bedrijf dat ze niet eens een password kluis voor iedereen heeft geregeld anders sla je geen ww op in een prive google account. Daarnaast beter selecteren bij de poort.
Maar dat is omslachtig. Het is dan veel handiger het in je privé account op te slaan. Ik neem aan dat het zakelijke google account wel de betere bescherming had.
Maar dat is omslachtig. Het is dan veel handiger het in je privé account op te slaan. Ik neem aan dat het zakelijke google account wel de betere bescherming had.
Funny.
Des te belangrijker dat je voor een service account MFA gebruikt, hoe meer rechten een account heeft des te belangrijker de beveiliging is.
Aangezien Okta een authenticatie platform is, waarschijnlijk wel.
Was ook maar een cynische opmerking, ik ken Okta (helaas).
[quite]
Gewoon slecht ingericht, een service account hoort sowieso niks in een gui te kunnen.
Daarnaast zijn er nog weet ik hoeveel maatregelen die men had kunnen treffen.[/quote]
Maar dat is omslachtig. Het is dan veel handiger het in je privé account op te slaan. Ik neem aan dat het zakelijke google account wel de betere bescherming had.
Google biedt helemaal geen bescherming. Integendeel zelfs, door Google hebben duizenden mensen en machines toegang tot jouw en alle andere accounts. Ennehhh bij Microsoft en Apple zal het geen haar beter zijn.
Voor nog meer redenen om chrome vooral links (of rechts natuurlijk ...) te laten liggen zie: https://contrachrome.com/
Des te belangrijker dat je voor een service account MFA gebruikt, hoe meer rechten een account heeft des te belangrijker de beveiliging is.
Dat ligt er natuurlijk aan wat je definitie van "een Service Account" is!
Identity kan zorgen voor geweldige user experiences, het aantal aanmeldingen van klanten vergroten,
de productiviteit van werknemers verbeteren en apps sneller in de markt zetten.
Hoe geloofwaardig is OKTA als men het onder het eigen personeel slecht geregeld heeft, een blamage voor de bescherming van IDENTITEIT
Aanmelden
Neem contact met ons op
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
