Hacker erlangen Zugang bei Identitätsdienst Okta
von Mike Leitner | 9 Kommentare
Der Identitätsdienstleister Okta war erneut Ziel eines Hackerangriffes. Am 20. Oktober 2023 bestätigte Sicherheitschef David Bradbury in einem Blogbeitrag, dass Hacker Anmeldeinformationen zum Kundendienstsystem gestohlen hatten und dort auf sensible Kundendaten zugreifen konnten. Angaben zu der Zahl der Betroffenen machte das Unternehmen nicht.
Zu den Kunden gehört auch der US-amerikanische Zugangsdienstanbieter Beyondtrust, dessen Sicherheitsteam Anfang Oktober einen Angriff feststellte. Es gingen keine Kundendaten verloren, zumindest sagte das Unternehmen dies aus. Der Angreifer versuchte mit einem gültigen Session-Cookie auf eine interne Admin-Konsole zuzugreifen. Erhalten hatte er Angreifer den Cookie vom Kundendienstsystem Oktas. Dort wurde zu Diagnosezwecken eine HTTP-Archivdatei (HAR) hochgeladen.
Diese enthalten auch teils sensible Daten und Session-Cookies. Auch Cloudfront meldete sich in einem Blogbeitrag, dass sie betroffen waren, aber keine Kundendaten verloren gingen. Wer den Vorfall mit LinusTechTips (LTT) noch kennt, auch dort waren Session-Cookies die Ursache. Session-Cookies dienen zum Speichern von Login-Sitzungen oder anderen temporären Inhalten, wie Einkaufswageninhalte.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Hmm… warum muss ich gerade an das Konzept PassKeys denken?
Gute Frage! Lüfte doch mal dieses Geheimnis.
Mit Passkeys wäre das nicht passiert?
Auch diese nutzen doch dann Session Cookies, oder meinst wegen Anmeldung?
Wie genau geht das mit den Session-Cookies? Über einen Fake-Link oder wie gelangen Angreifer an Session-Cookies oder was ist da genau der technische Hintergrund? Kann es mir jemand erklären?
Ich habe das versucht im Artikel kurz zu erklären, hier aber noch mal 🙂
Okta verlangt von den Nutzern in bestimmten Fällen eine HTTP-Archivdatei (HAR). In der Datei sind diese Cookies teils gespeichert. Ein Angreifer kann das Cookie bei sich setzen, dann erkennt die Website ihn als eingeloggt.
Als Ergänzung dazu, damit übernimmt er den Login Status einer fremden Person, der der Session Cookie gehörte.
Aha. Danke dir, das verstehe ich nun auch.
Danke für die einfache Erklärung!