Der folgende Artikel hilft Ihnen dabei: Hier ist der größte Fehler, den ein LAPSUS$-Hacking-Opfer gemacht hat
Okta, ein Unternehmen für digitale Sicherheitsauthentifizierung, zog die Augenbrauen hoch, als es etwa zwei Monate nach dem Verstoß bestätigte, dass es von den Microsoft- und Nvidia-Hackern LAPSUS$ ins Visier genommen wurde.
Die Wartezeit zwischen der ersten Phase des Cybersicherheitsvorfalls und der offiziellen Bestätigung des Hacks löste bei Sicherheitsforschern und der Technologie-Community große Besorgnis aus. Jetzt hat Okta eine FAQ zu der Situation veröffentlicht, in der es zugibt, dass das Unternehmen einen Fehler gemacht hat.
LAPSUS$ behauptete, durch die Infiltration eines seiner Kunden, Sitel, im Januar Zugriff auf die Systeme von Okta erhalten zu haben. Okta bestätigte dies, als es angab, am 20. Januar verdächtige Aktivitäten festgestellt zu haben. Es heißt, dass es am 17. März einen „zusammenfassenden Bericht über den Vorfall von Sitel“ erhalten habe.
Allerdings bestätigte Okta den Hack erst, nachdem LAPSUS$ letzte Woche sensible Bilder veröffentlicht hatte. Das Unternehmen, das einige der größten Unternehmen der Welt – darunter auch Regierungsbehörden – mit Authentifizierungstechnologie beliefert, hat nun in einer FAQ auf die heftige Gegenreaktion reagiert:
„Wir wollen anerkennen, dass wir einen Fehler gemacht haben. Sitel ist unser Dienstleister, für den wir letztlich verantwortlich sind.
„Im Januar kannten wir das Ausmaß des Sitel-Problems nicht – nur, dass wir einen Kontoübernahmeversuch entdeckt und verhindert hatten und dass Sitel ein forensisches Drittunternehmen mit der Untersuchung beauftragt hatte. Zu diesem Zeitpunkt erkannten wir nicht, dass ein Risiko für Okta und unsere Kunden bestand. Wir sollten Informationen von Sitel aktiver und energischer erzwingen.
„Angesichts der Beweise, die wir in der letzten Woche gesammelt haben, ist es klar, dass wir eine andere Entscheidung getroffen hätten, wenn wir im Besitz aller Fakten gewesen wären, die uns heute vorliegen.“
An anderer Stelle stellen durchgesickerte Dokumente, die der unabhängige Sicherheitsforscher Bill Demirkapi Wired zur Verfügung gestellt hat, die Stärke oder den offensichtlichen Mangel des Sicherheitssystems und der Gegenmaßnahmen von Sitel in Frage und zeigen „offensichtliche Lücken in Oktas Reaktion auf den Vorfall“.
Dem Bericht zufolge griff LAPSUS$ auf Tools wie Mimikatz zurück, das zum Extrahieren von Passwörtern entwickelt wurde, um weiteren Zugriff auf die Systeme von Sitel zu erhalten.
„Der Zeitplan des Angriffs ist für die Sitel-Gruppe peinlich besorgniserregend“, betonte Demirkapi. „Die Angreifer haben überhaupt nicht versucht, die Betriebssicherheit aufrechtzuerhalten. Sie durchsuchten im wahrsten Sinne des Wortes das Internet auf ihren kompromittierten Rechnern nach bekannten Schadprogrammen und luden sie von offiziellen Quellen herunter.“
Starkes Spiel
Auf jeden Fall haben sowohl Sicherheitsforscher als auch Oktas eigene Kunden Kritik an der Reaktion des Unternehmens auf den Hack festgestellt.
Wie beispielsweise Computing.co.uk berichtet, gab Amit Yoran, CEO von Tenable, ein Cybersicherheitsunternehmen und Okta-Kunde, über LinkedIn eine scharf formulierte Erklärung an Okta ab:
„Sie haben entweder keine ordnungsgemäße Untersuchung durchgeführt oder den Verstoß im Januar offengelegt, als er entdeckt wurde. Als Sie von LAPSUS$ geoutet wurden, haben Sie den Vorfall abgetan und es versäumt, den Kunden im wahrsten Sinne des Wortes verwertbare Informationen zur Verfügung zu stellen. LAPSUS$ hat Sie dann auf Ihre offensichtlichen Falschangaben aufmerksam gemacht. Erst dann stellen Sie fest und geben zu, dass 2,5 % (Hunderte) der Sicherheit der Kunden gefährdet waren. Und noch immer fehlen umsetzbare Details und Empfehlungen.
„Es wurden keine Indikatoren für eine Kompromittierung veröffentlicht, es wurden keine Best Practices veröffentlicht und es wurden keine Leitlinien veröffentlicht, wie ein potenzieller Anstieg des Risikos gemindert werden kann. Als Kunde können wir nur sagen, dass Okta uns nicht kontaktiert hat.“
Demirkapi wiederholte die Ansichten des oben genannten offenen Briefes, als er letzte Woche erstmals zu dem Vorfall Stellung nahm. „Meiner Meinung nach sieht es so aus, als würden sie versuchen, den Angriff so weit wie möglich herunterzuspielen und sich in ihren eigenen Aussagen sogar direkt zu widersprechen“, sagte er.
Unterdessen wurden laut Wired offenbar letzte Woche in London sieben Hacker im Zusammenhang mit LAPSUS$ (im Alter von 16 bis 21 Jahren) festgenommen. Letztendlich wurden sie jedoch alle freigelassen, ohne dass eine formelle Anklage erhoben wurde.
LAPSUS$ hat einen beachtlichen Einzug in die Hacking-Community geschafft. Wir haben zunächst durch den 1-TB-Nvidia-Hack davon erfahren, dem kürzlich eine Infiltration der Microsoft-Systeme folgte. Das letztgenannte Unternehmen hat Berichten zufolge bereits miterlebt, wie Quellcodes für Cortana und seine Bing-Suchmaschine durchgesickert sind.
