Okta wijst na de recente hack met beschuldigende vinger naar een medewerker die zijn persoonlijke Google-account gebruikte op zijn werkapparaat. Maar het management gaat ook niet vrijuit.
Op 23 oktober meldde Okta dat er een beveiligingsincident had plaatsgevonden. In een blogupdate bevestigt CTO David Bradbury dat de indringers van 28 september tot 17 oktober toegang hadden tot gegevens van 134 klanten. Bij vijf klanten geraakten ze zelfs tot in de klantenomgeving van het authenticatieplatform. Een van die klanten bleek wachtwoordmanager 1Password te zijn. Inmiddels is ook de schuldige van de cyberaanval gekend: een werknemer van Okta.
De onfortuinlijke werknemer gebruikte zijn persoonlijke Google-account op zijn zakelijke laptop. Bijgevolg had hij de inloggegevens van zijn werkaccounts ook opgeslagen in dat persoonlijke account, wellicht in de ingebouwde wachtwoordmanager van Chrome. Het is zelden een goed idee om persoonlijke en zakelijke accounts te veel te vermengen en deze werknemer werd daar ook pijnlijk voor afgestraft.
Het gehackte account was een service-account, een type account dat wordt aangemaakt als een menselijk gebruikersaccount maar wordt ingezet om geautomatiseerde taken zoals back-ups of antivirusscans te laten uitvoeren. Hierdoor kan dit type account moeilijker met multifactorauthenticatie beveiligd worden.
Hand in eigen boezem
De werknemer zal ongetwijfeld een fikse uitbrander hebben gekregen, al mag het management van Okta ook de hand in eigen boezem steken. Ars Technica wijst op enkele tekortkomingen in het securitybeleid van Okta waardoor het zo ver is kunnen komen. In eerste plaats werden er te weinig beveiligingsmaatregelen voor de service-accounts genomen. De aanvallers hadden vrij spel eens ze de inloggegevens hadden bekomen.
Okta had onder meer strengere controles op de IP-adressen gelinkt aan de service-accounts en/of tijdelijke authenticatie-tokens voor dit type accounts kunnen implementeren. Ook duurde het relatief lang vooraleer Okta door had dat er iets niet pluis was op het netwerk, het was 1Password die zijn leverancier er attent op moest maken. Dit zijn toch pijnlijke fouten voor een bedrijf dat gespecialiseerd is in veilige authenticatietechnologie.
Inmiddels heeft Okta extra maatregelen ingevoerd en zal het service-accounts voortaan enkel nog tokens uitdelen op basis van de netwerklocatie, bevestigt Bradbury. Ook maakt het bedrijf nog eens duidelijk dat werknemers hun persoonlijke accounts niet mogen gebruiken op hun werklaptop. Dat zijn nu doekjes voor het bloeden, maar Okta is niet van plan om zich twee keer aan dezelfde steen te stoten.