Okta geeft openheid in Lapsus$-aanval en zegt 'sorry'

Okta maakt in een FAQ-document verontschuldigingen voor het feit niet adequaat gereageerd te hebben op de eerste signalen dat er wat aan de hand was, pikte The Register op. Op 20 januari werden er pogingen gedaan een wijziging uit te voeren op het account van een toeleverancier van Okta. Het ging om het bedrijf Sitel waar Okta gebruik van maakt voor een aantal klantenservicediensten. Er werden pogingen gedaan een nieuw wachtwoord toe te voegen. Dat mislukte en een dag later heeft Okta het betreffende account gereset en Sitel om opheldering gevraagd. Dat bedrijf schakelde op zijn beurt een forensisch onderzoeksbureau in.

Okta verwijt zichzelf nu verder geen verdere vragen te hebben gesteld in afwachting van de conclusies waarmee Sitel kwam. Het bedrijf ging ervan uit dat Sitel alle beschikbare informatie had verstrekt. Maar achteraf gezien, zo zegt Okta nu, hadden we met de informatie die we inmiddels hebben heel andere beslissingen genomen. "In januari hadden we geen idee over de omvang van het probleem waar Sitel mee te kampen had. We wisten alleen dat we de overname van een account hadden ontdekt en die hadden voorkomen."

Te late reactie

Er was dus bij Okta ook geen idee van de risico's die de IT-leverancier en de eigen klanten liepen. "We hadden veel actiever en krachtiger moeten aandringen op informatie van Sitel." Het forensisch bureau dat Sitel inschakelde kwam op 10 maart met een onderzoeksrapport en pas zeven dagen later kreeg Okta de samenvatting daarvan. Op 22 maart begon Lapsus$ met de publicatie online van informatie die bij Okta was buitgemaakt. Pas toen kreeg Okta volledige inzage in het forensisch rapport.

Het bleek dat de aanvallers via Sitel al vijf dagen eerder toegang hadden tot de systemen van Okta. De verijdelde accountkaping was dus niet de enige. Maar ook toen dit duidelijk werd gingen er bij Okta nog niet onmiddellijk alarmbellen af wat betreft het risico dat klanten van Okta hadden gelopen. Dat besef drong pas een dag later door, vermoedelijk toen het volledige rapport was geëvalueerd. Dat leidde tot een waarschuwing aan klanten.

Niks aan de hand?

Toch concludeert Okta nu dat de accounts van klanten voldoende beschermd waren en dat van hun kant geen extra maatregelen nodig zijn. Ondanks dat de aanvallers via het Sitel-account wat hebben kunnen rondsnuffelen in de IT-omgeving van Okta, hadden ze een account van een klant moeten overnemen om daar daadwerkelijk schade te kunnen toebrengen.

Dat is niet gebeurd omdat het gekaapte Sitel-account geen rechten heeft om nieuwe accounts aan te maken of te verwijderen bij Okta. Ook had dat account van de toeleverancier geen rechten om informatie vanuit klantendatabases te benaderen. Wat de aanvallers wel konden, was bijvoorbeeld tickets inzien die door klanten waren aangemaakt in het Jira-workflowsysteem voor de helpdesk. Okta zegt nog wel verder onderzoek te doen in de logs van verschillende systemen om te zien of er nog andere informatie is ingezien.

Vertrouwenskwesties

De situatie is extra pijnlijk voor een bedrijf als Okta dat juist diensten levert die meer vertrouwen moeten geven in digitale identiteit. Het bedrijf geeft nu toe zelf te goed van vertrouwen te zijn geweest bij het controleren van verdachte activiteiten. Nu vraagt het van klanten weer vertrouwen te hebben dat de afhandeling van de inbraak voldoende grondig genoeg gebeurt.