Wie das Wall Street Journal berichtet, waren beim - auf sicheres Zugriffs-Management spezialisierten - Softwareanbieter Okta 366 Kunden von dem Angriff betroffen. Das entspreche einem Anteil von 2,5 Prozent der mehr als 15.000 weltweit betreuten Unternehmen und Institutionen.
Okta teilte mit, der Breach sei über den Laptop eines Ingenieurs passiert, der bei einem Subunternehmen beschäftigt war. Die Hacker hätten dort zwischen dem 16. und 21. Januar ihre Zugriffschance genutzt. Vor wenigen Tagen hatte Lapsus$ über seinen Telegram-Kanal Screenshots gepostet, die offenbar interne Okta-Systeme zeigten. Die Gruppe gab an, sie habe es nicht auf das Softwareunternehmen selbst, sondern auf dessen Kunden abgesehen.
Okta: Der Laptop eines Kundendienst-Mitarbeiters wurde gehackt
Laut Okta stammen die Screenshots von einem Computer, der von einem Kundendiensttechniker des Subunternehmens Sitel Group mit Sitz in Miami benutzt worden sei. Die Hacker hätten die Kontrolle über den Rechner gewonnen und sich so dieselben Zugriffsrechte verschafft, wie sie der Techniker besitze.
Allerdings hätten solche Support-Techniker nur begrenzten Zugriff auf Daten, betont Okta. Sie könnten Kunden beim Zurücksetzen von Passwörtern und Multifaktor-Authentifizierungsmechanismen behilflich sein, die Passwörter selbst könnten sie aber nicht einsehen. Folglich habe der Techniker in Miami nicht die Möglichkeit gehabt, Benutzerkonten neu zu erstellen oder zu löschen. Er habe auch nicht Kundendatenbanken herunterladen oder auf Quellcode-Repositories zugreifen können, heißt es bei Okta.
Das Unternehmen teilte zudem mit, dass es Sitel Ende Januar über den Verstoß informiert habe, worauf der Subunternehmer ein externes forensisches Unternehmen mit der Untersuchung des Vorfalls beauftragt habe. Die vollständigen Ergebnisse dieser Untersuchung seien Okta erst vor kurzem mitgeteilt worden - leider sehr spät, wie das Softwareunternehmen kritisch anmerkt.
Die Sitel-Geschäftseinheit, bei der die Sicherheitslücke auftrat, heißt Sykes Enterprises Inc. und sitzt in Tampa, Florida. Dort sei schnell gehandelt worden, um die Folgen des Hackerangriffs einzudämmen. In einem Statement schreibt Sykes: "Nach Abschluss der ersten Untersuchung und in Zusammenarbeit mit einem weltweit führenden Cybersecurity-Unternehmen bewerten wir weiterhin potenzielle Sicherheitsrisiken sowohl für unsere Infrastruktur als auch für die Marken, die wir rund um den Globus unterstützen."
Lapsus$ bestreitet Angaben von Okta
Unterdessen hat Lapsus$ in einem weiteren Telegram-Post einige der Aussagen von Okta bestritten. Man habe keinen Laptop kompromittiert, und die Support-Techniker der Subunternehmen hätten breitere Zugangsmöglichkeiten als von Okta behauptet. Lapsus$ bestreitet auch, dass die Auswirkungen der Sicherheitsverletzung auf die Kunden begrenzt sei. Die Möglichkeit, Passwörter und Multifaktor-Authentifizierung zurückzusetzen, könne zu einer "vollständigen Kompromittierung vieler Kundensysteme" führen, behauptet die Gang.
Auf Anfrage bei Okta erhielt das "Wall Street Journal" die Auskunft einer Unternehmenssprecherin, man könne der früheren Erklärung des Unternehmens über das Ausmaß der Sicherheitsverletzung nichts Neues hinzuzufügen.
Auch Microsoft hatte einen Angriff durch Lapsus$ bestätigt und in einem Blog-Beitrag von einer groß angelegten Kampagne gesprochen, der neben Microsoft weitere Unternehmen zum Opfer gefallen seien. Die Gruppe agiere sehr offen und versuche nicht, ihre Spuren zu verwischen. Habe sie sich einmal Zugang zu einem Unternehmen verschafft, höre sie gerne deren interne Nachrichten und Krisenkommunikation ab, um sich über den Stand der Dinge bei ihren Opfern auf dem Laufenden zu halten.
Bevor Lapsus$ sich an die großen Softwarekonzerne wagte, soll die Gruppe bereits einige Ziele in Brasilien, Portugal und Großbritannien angegriffen haben. Auch für Hackerangriffe auf Apple, Samsung und Nvidia hat Lapsus$ die Verantwortung übernommen. Die Gang soll außerdem einzelne Konten bei Kryptowährungsbörsen gekapert und geleert haben.