Netwerk- en beveiligingsgigant Cloudflare en wachtwoordbeheerder-ontwikkelaar 1Password zeiden dat hackers kortstondig inbreuk maakten op hun systemen na een recente inbreuk op de ondersteuningsafdeling van Okta. Cloudflare en 1Password zeiden allebei dat hun recente inbreuken verband hielden met de kwetsbaarheden van Okta, maar dat de incidenten geen invloed hadden op hun klantsystemen of gebruikersgegevens.

"We hebben deze afwijkende activiteit onmiddellijk beëindigd en een onderzoek uitgevoerd en hebben geen inbreuk op gebruikersgegevens of andere gevoelige systemen gevonden, zowel voor de medewerkers als voor de gebruikers", zegt Pedro Canahuati, Chief Technology Officer van 1Password in een blogpost. "We hebben bevestigd dat dit het gevolg was van een kwetsbaarheid in het ondersteuningssysteem van Okta."

Okta, dat single sign-on-technologie levert aan bedrijven en organisaties, zei vrijdag eind vrijdag dat hackers hadden ingebroken in de afdeling klantenondersteuning en bestanden hadden gestolen die door klanten waren geüpload om technische problemen te diagnosticeren. Deze bestanden bevatten browsersessielogboeken, die gevoelige gebruikersgegevens kunnen bevatten, zoals cookies en sessietokens, waarmee hackers, als ze worden gestolen, gebruikersaccounts kunnen nabootsen.

Okta-woordvoerder Vitor DeSouza zei dat ongeveer 1% van Okta's 17.000 zakelijke klanten, oftewel 170 organisaties, door het beveiligingslek werd getroffen.

In een bijgevoegd rapport met details over het beveiligingsincident zei 1Password dat de hackers sessietokens gebruikten uit een bestand dat IT-teamleden eerder op de dag naar het ondersteuningssysteem van Okta hadden geüpload om problemen op te lossen. Met het sessietoken kon de hacker het account van het IT-lid gebruiken zonder dat een wachtwoord of tweefactorcode nodig was, waardoor de hacker beperkte toegang kreeg tot het Okta-paneel van 1Password.

1Password verklaarde dat het incident plaatsvond op 29 september, twee weken voordat Okta de details van het incident openbaar maakte.

Cloudflare bevestigde vrijdag ook in een blogpost dat hackers ook sessietokens gebruikten die waren gestolen van Okta-ondersteuning om zijn systemen aan te vallen. Grant Bourzikas, Chief Information Security Officer van Cloudflare, zei dat het Cloudflare-incident op 18 oktober begon en dat "de bedreigingsactoren geen toegang hadden tot onze systemen of gegevens", grotendeels omdat Cloudflare hardwarebeveiligingssleutels gebruikt die phishing-aanvallen kunnen omzeilen.

Beveiligingsbedrijf BeyondTrust zei dat het ook getroffen was door de Okta-inbraak, maar stopte de inbraak ook snel. BeyondTrust zei in een blogpost dat het Okta op 2 oktober op de hoogte bracht van het incident, maar beschuldigde Okta ervan de inbreuk bijna drie weken lang niet te hebben erkend.

Dit is Okta’s laatste beveiligingsincident nadat een deel van de broncode in december 2022 werd gestolen en hackers in januari 2022 screenshots van Okta’s interne netwerk vrijgaven.

Nadat beveiligingsverslaggever Brian Krebs voor het eerst nieuws over de inbreuk had gerapporteerd, daalde de aandelenkoers van Okta vrijdag met meer dan 11%, waardoor minstens $ 2 miljard aan bedrijfswaarde werd weggevaagd.