Der Identitätsdienst Okta wurde nach Ende August diesen Jahres erneut zum Ziel eines groß angelegten Hackerangriffs. Bei diesem Übergriff konnten die Hacker über den Kundensupport Zugriff auf sensible Kundendaten erlangen. Das ist ein schwerer Schlag für das Image des Unternehmens mit rund 18.000 Kunden aus aller Welt.

Hackerangriffe über Sessioncookies in HAR Daten

Der Okta Support fordert alle Kunden auf, eine HTTP-Archivdatei (HAR) hochzuladen. Diese ermöglicht eine Fehlerbehebung durch die Replikation der Browseraktivität.

Doch diese Dateien wurden von Hackern genutzt. Bereits 30 Minuten nach dem Upload dieser Datei wurde der US-amerikanische Zugangsdienstanbieter Beyondtrust angegriffen.

Das Sicherheitsteam identifizierte einen Angreifer, der mit einem gültigen Sitzungscookie aus dem Okta-Supportsystem versuchte, auf ein ( internes) Okta Administratorenkonto zuzugreifen. Der Angreifer wurde zwar blockiert, konnte aber „begrenzte“ Aktionen durchführen, da es Einschränkungen im Sicherheitsmodell von Okta gibt. Es gab aber laut Unternehmen keinen direkten Zugriff auf die IT Systeme zu diesem Zeitpunkt. Am 3. Oktober informierte Beyondtrust das Sicherheitsteam von Okta über den Vorfall.

Der Identitätsdienst schreibt dazu:„HAR-Dateien können auch sensible Daten enthalten, darunter Cookies und Sitzungs-Tokens, die von böswilligen Akteuren genutzt werden können, um sich als gültige Benutzer auszugeben“… und empfiehlt …“alle Anmeldedaten und Cookies oder Session-Tokens in einer HAR-Datei zu säubern“ bevor sie weitergeleitet werden.

Okta hatte das Ausmaß dieses Sicherheitsvorfalls trotz der Meldung von Beyondtrust erst am 17.Oktober erkannt und den Übergriff am 19.Oktober öffentlich eingeräumt. Es seinen mit gestohlenen Zugangsdaten Übergriffe auf das Kundendienstsystem von Okta verübt worden. Okta nannte keine genauen Zahlen, schrieb in einem Blogbeitrag vom 20.10., dass nur ein sehr sehr kleiner Anteil der 18.000 Kunden kompromittiert wurde.