Update: Angreifer schleichen sich in Cloudflare-Systeme
Cyberkriminelle haben sich Zugang zu Cloudflare-Systemen verschafft. Dazu verwendeten die Angreifer Daten, die aus dem Okta-Hack des vergangenen Herbsts stammen.
Update vom 02.02.2024: Cloudflare ist vergangenen November Opfer eines Cyberangriffs geworden. Die Angreifer hätten sich mit gestohlenen Daten aus dem Okta-Hack Zugang verschaffen können. Der Technologiekonzern gab in einem Blogbeitrag bekannt, dass sich Cyberkriminelle auf einen selbst-gehosteten Atlassian-Server eingeschlichen hätten.
Der Angriff startete laut Cloudflare am 14. November und dauerte bis zum 24. November. Die Hacker hätten zunächst versucht, auf verschiedene Cloudflare-Systeme zuzugreifen – allerdings erfolglos. Später sei es ihnen jedoch gelungen, auf ein internes Wiki, das auf Atlassian Confluence basiert, und in das Quellcode-Verwaltungssystem (basierend auf Bitbucket) einzudringen.
Die Angreifer hätten ein Zugangstoken und drei Dienstkonto-Zugangsdaten verwendet, die aus dem Okta-Hack im Oktober 2023 stammen sollen. Cloudflare habe den Angriff am 23. November entdeckt und am folgenden Tag die Hacker ausgesperrt.
Die Untersuchung des Angriffs mit Unterstützung von Crowdstrike habe ergeben, dass keine Kunden-Daten oder -Systeme betroffen seien. Die Identität der Angreifer ist noch unklar, Cloudflare vermutet dahinter jedoch einen staatlich unterstützten Akteur.
Update vom 1.12.2023:
Okta-Hack betrifft mehr Kunden als zunächst vermeldet
Der Angriff auf Okta betrifft mehr Kunden als zuvor gemeldet wurde. Der Spezialist für Identitäts- und Zugriffsmanagement glaubte zunächst, dass nur 134 Kunden vom Hacker-Angriff betroffen seien, also insgesamt weniger als 1 Prozent aller User. Doch in einem neuen Blog-Eintrag schreibt David Bradbury, Chief Security Officer von Okta, dass vom Datenklau all jene betroffen sind, die den Support von Okta in Anspruch nahmen. Gemäss dem Bericht wurden dabei die Namen und die E-Mail-Adressen aller Betroffenen abgegriffen. David Bradbury erklärt ausserdem, sie hätten noch keine Kenntnisse respektive Beweise, dass diese Informationen ausgenutzt wurden. Dennoch warnt er Okta-Kundinnen und Kunden vor Phishing- oder Social-Engineering-Angriffen durch die Cyberkriminellen.
Update vom 6.11.2023:
134 Kunden von Okta-Hack betroffen - fünf besonders hart
Wie Okta selbst mitteilt, betrifft der erneute Hack 134 Kunden des Identitäts- und Zugangsverwalters. Das seien weniger als 1 Prozent aller Okta-Kunden. Fünf dieser Kunden traf es jedoch besonders hart: Diese wurden anschliessend - da beim Hack auch Sitzungs-Tokens entwendet wurden - Opfer von Session-Hijacking-Angriffen. Mit den gestohlenen Tokens können die Angreifer online die Identität ihrer Opfer annehmen - etwa beim Onlinebanking. Drei Kunden, deren Internetsitzungen gekapert wurden, äusserten sich bereits öffentlich dazu, wie "Bleepingcomputer" berichtet. Dabei handelt es sich um sind 1Password, Beyondtrust und Cloudflare.
Originalmeldung vom 24.10.2023:
Schon wieder: Cyberkriminelle hacken Okta und ergattern Kundendaten
Der Identitäts- und Zugangsverwalter Okta ist schon wieder Ziel eines Hackerangriffs geworden. Cyberkriminellen ist es gelungen, sensible Kundendaten zu ergattern, wie "Reuters" schreibt. Zudem berichtet "The Register", dass der Okta-Kunde Beyondtrust den Dienstleister bereits am 2. Oktober auf den Cyberangriff aufmerksam gemacht habe.
Es handelt sich nicht um den ersten Vorfall. 2022 verzeichnete das kalifornische Unternehmen einen Datendiebstahl, nachdem Hacker ein Tool ihres Kundensupports gehackt hatten. Diesen August informierte der Dienstleister über Social-Engineering-Angriffe auf seine IT-Servicedesk-Mitarbeitenden.
Der neue Angriff betrifft ebenfalls den Kundendienst. Dieses Mal aber hätten die Angreifer das Fallmanagement-Tool direkt anvisiert und seien nicht über ein Subunternehmen eingedrungen. Laut Okta bekamen die Hacker Daten in die Hände, welche die Kunden im Normalfall an den Support von Okta weiterleiten müssen. Diese Daten enthielten sensible Informationen, darunter Cookies und Sitzungs-Tokens. Die Angreifer könnten diese verwenden, um die Identität der betroffenen Kunden anzunehmen.
Okta teilt weiter mit, dass der Angriff nur einige Kunden betreffe. Diese seien bereits informiert worden. Das Unternehmen empfiehlt, immer die HAR-Dateien erst zu bereinigen (alle Zugangsdaten zu entfernen), bevor diese an den Support weitergleitet werden.
Wie KMUs ihr Unternehmen vor Cyberangriffen schützen können, erfahren Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.