Okta schließt die Untersuchung der Kompromittierung von Januar 2022 ab
Wir haben die Untersuchung des Vorfalls abgeschlossen, bei dem ein Third-Party-Anbieter im Januar 2022 kompromittiert wurde.
Zu Beginn unserer Untersuchung konzentrierten wir uns auf die fünf Tage zwischen dem 16. und 21. Januar. Dies ist das Zeitfenster, in dem nach Angaben des vom Anbieter Sitel beauftragten Third-Party-Forensik-Unternehmens der Angreifer Zugang zur Umgebung von Sitel hatte. Ausgehend von diesem Zeitfenster haben wir ermittelt, dass der Vorfall maximal 366 Okta-Kunden betreffen konnte – diejenigen Kunden, auf deren Tenants im betreffenden Zeitraum ein Support-Techniker von Sitel Zugriff hatte.
Als Ergebnis der gründlichen Untersuchung unserer internen Security-Experten sowie eines weltweit anerkannten Cybersecurity-Unternehmens, das wir mit der Erstellung eines forensischen Berichts beauftragt haben, können wir festhalten, dass die Auswirkungen des Vorfalls deutlich geringer waren als die maximalen potenziellen Auswirkungen, die Okta am 22. März 2022 kommuniziert hatte.
Der abschließende forensische Bericht des von uns beauftragten, weltweit renommierten Cybersecurity-Unternehmens kommt zu dem Schluss, dass:
- Der Angreifer lediglich eine einzelne Workstation aktiv kontrollierte, die von einem Support-Techniker von Sitel verwendet wurde und Zugang zu Okta-Ressourcen hatte.
- Die Kontrolle hatte er am 21. Januar 2022 für eine Zeitspanne von 25 Minuten.
- Während dieses begrenzten Zeitfensters griff der Angreifer auf zwei aktive Kunden-Tenants in der SuperUser-Anwendung zu (die wir separat benachrichtigt haben) und hatte in begrenztem Umfang Einsicht in weitere Informationen in anderen Anwendungen wie Slack und Jira. Diese können nicht zur Durchführung von Aktionen in Okta-Kunden-Tenants verwendet werden.
- Der Angreifer war nicht in der Lage, erfolgreich Konfigurationsänderungen, MFA- oder Kennwort-Rücksetzungen oder „Impersonation“-Ereignisse im Kundensupport durchzuführen.
- Der Angreifer war nicht in der Lage, sich direkt bei Okta-Konten zu authentifizieren.
Obwohl die Auswirkungen der Kompromittierung in der Summe deutlich geringer sind als ursprünglich angenommen, sind wir uns bewusst, wie nachteilig sich diese Art der Kompromittierung auf unsere Kunden und ihr Vertrauen in Okta auswirken kann.
Die Zusammenarbeit mit unseren Kunden
Als Okta am 21. März 2022 erfuhr, dass der Angreifer erfolgreich Screenshots gemacht hatte, reagierten wir transparent und legten offen, was wir zu diesem Zeitpunkt wussten. Am 22. März 2022 begannen wir damit, den maximalen Kreis potenziell betroffener Kunden zu benachrichtigen, den wir auf der Basis der Untersuchung aller Zugriffe aller Sitel-Mitarbeiter auf die SuperUser-Anwendung während des 5-Tage-Fensters eingegrenzt hatten. Wir haben jedem dieser Kunden die Protokolle der SuperUser-App zur Verfügung gestellt. Um den Kunden bei der Interpretation dieser Protokoll-Daten zu helfen, haben wir Meetings angesetzt, bei denen auch Okta Security-Mitarbeiter anwesend waren. Wir haben dies getan, um zu dokumentieren, wie wichtig es für uns ist, das Vertrauen der Kunden wiederherzustellen und gemeinsam mit ihnen zusammenzuarbeiten, um uns gemeinsam erneut von der Sicherheit der Okta-Services zu überzeugen.
Nach Abschluss unserer Untersuchung haben wir den Okta-Kunden, von denen wir ursprünglich annahmen, dass sie betroffen sind, die folgenden beiden Dokumente zur Verfügung gestellt:
- Den abschließenden forensischen Bericht, der von einem weltweit anerkannten Cybersecurity-Forensik-Unternehmen für Okta erstellt wurde.
- Den ‚Okta Security Action Plan‘, der die kurz- und langfristigen Schritte beschreibt, die Okta umsetzen wird, um die Sicherheit unserer Third-Party-Anbieter mit Zugang zu Kunden-Support-Systemen zu stärken.
Was wir gelernt haben
Über die Kommunikation mit den potenziell betroffenen Unternehmen hinaus ist uns bewusst, wie wichtig es ist, das Vertrauen unseres breiteren Kundenstamms und unseres Ökosystems mit geeigneten Maßnahmen wiederherzustellen. Ungeachtet der Schlussfolgerungen des abschließenden forensischen Berichts sind wir fest entschlossen, umfangreiche Maßnahmen zu ergreifen, um ähnlich gelagerte Vorfälle zu verhindern und künftig noch wirksamer auf Security-relevante Vorfälle reagieren zu können. Das fängt damit an, dass wir unsere eigenen Security-Prozesse auf den Prüfstand stellen und nach neuen Wegen suchen werden, um die Kommunikation mit Drittanbietern zu beschleunigen und mögliche kleine und große Probleme intern zu erkennen. Wir werden auch weiterhin daran arbeiten, potenzielle Risiken zu identifizieren und, falls erforderlich, so schnell wie möglich unseren Kunden mitzuteilen.
Wir haben uns darüber hinaus entschlossen, eine Reihe von Maßnahmen zu initiieren:
1. Risikomanagement bei der Zusammenarbeit mit Third-Party-Anbietern:
- Okta verstärkt seine Audit-Verfahren für Sub-Verarbeiter, um sicherzustellen, dass diese unseren neuen Security-Vorgaben entsprechen. Wir werden verlangen, dass Sub-Verarbeiter, die im Namen von Okta Support-Services erbringen, „Zero Trust“-Security-Architekturen implementieren und sich für alle Arbeitsplatzanwendungen über die IDAM-Lösung von Okta authentifizieren.
- Okta hat die Geschäftsbeziehung mit Sykes/Sitel beendet.
2. Zugang zu Kunden-Support-Systemen:
- Okta verwaltet ab sofort direkt alle Geräte von Drittanbietern, die auf unsere Kunden-Support-Lösungen zugreifen. Dies garantiert uns die nötige Transparenz, um effektiv auf Sicherheitsvorfälle zu reagieren, ohne uns auf Dritte verlassen zu müssen. Auf diese Weise können wir unsere Reaktionszeiten erheblich verkürzen und unsere Kunden mit größerer Sicherheit über die tatsächlichen (statt über die potenziellen) Auswirkungen informieren.
- Wir nehmen weitere Änderungen an unserem Kunden-Support-Tool vor, um einzuschränken, auf welche Informationen ein Techniker im technischen Support zugreifen kann. Diese Änderungen bieten auch eine größere Transparenz darüber, wann das entsprechende Tool in den Management-Konsolen der Kunden verwendet wird (über die System-Logs).
3. Kommunikation mit Kunden: Wir überprüfen unsere Kommunikationsprozesse und werden neue Systeme einführen, die es uns ermöglichen, mit unseren Kunden schneller über Fragen der Sicherheit und Verfügbarkeit zu kommunizieren.
Der Weg vor uns
Die Kunden von Okta sind unser Stolz, unser Fokus und unsere oberste Priorität. Es schmerzt uns, dass die Technologie von Okta während des Vorfalls hervorragend funktionierte, unsere Bemühungen, Sie über die Vorkommnisse bei Sitel zu informieren, jedoch hinter unseren eigenen Erwartungen und denen unserer Kunden zurückblieben.
Das Führungsteam von Okta hat sich in den letzten Wochen mit Tausenden von Kunden getroffen, um sie persönlich über unseren Umgang mit dem Vorfall zu informieren.
Damit schließen wir diese Untersuchung ab – mit dem Gefühl, unsere Partnerschaft mit den Kunden gestärkt und eine wertvolle gemeinsame Reise unternommen zu haben. Wir sind uns bewusst, wie wichtig Okta für viele Unternehmen und die Menschen, die sich auf sie verlassen, ist, und wir sind mehr denn je entschlossen, ihren Erwartungen gerecht zu werden.