Bij Okta, leverancier van identiteits- en toegangsbeheertools, is kortgeleden een datalek geweest. Tussen 28 september en 17 oktober 2023 hadden onbevoegden toegang tot het customer support-systeem van Okta. Zij ontvreemdden daar van 134 klanten bestanden, waarvan ze vijf gebruikten om daadwerkelijk in te loggen op het portaal van de klant. Okta wijst naar een gekraakt privé-Google-account.
Okta levert zogeheten identity-oplossingen waarmee organisaties de toegang tot informatie en bestanden door medewerkers, partners en externen beheren en automatiseren. Het koppelt met veelgebruikte ict-producten en -diensten en zorgt dat gegevens en bestanden enkel toegankelijk zijn voor mensen met daarvoor de juiste rechten.
Google-account
Het datalek vond plaats door misbruik te maken van een serviceaccount dat in het systeem was opgeslagen. Dit account had toestemming om helpdesk-zaken te bekijken en bij te werken. Tijdens het onderzoek bleek dat een werknemer was ingelogd bij een persoonlijk Google-account op een door Okta beheerde laptop. Daarbij waren de gebruikersnaam en wachtwoord van het serviceaccount opgeslagen. Het vermoeden is dat de criminelen binnendrongen op het persoonlijke gebruikersprofiel of een privéapparaat van de medewerker.
Opmerkelijk is dat Okta veertien dagen lang geen verdachte downloads in hun logs was opgevallen, terwijl elke keer dat een gebruiker bestanden opent die betrekking hebben op een helpdeskvraag, dit wordt gelogd. Door de bestanden op een andere manier te benaderen, krijgt de handeling een ander soort logmelding die niet opviel. Het datalek werd pas ontdekt nadat BeyondTrust een verdacht ip-adres op 13 oktober meldde.
