Hackerattacke auf Identitätsdienst Okta: Gab es Sicherheitslücken in den Casinos oder waren sie einfach Opfer eines raffinierten Angriffs? (Bildquelle: Antoni Shkraba auf Pexels)
Immer wieder geraten Unternehmen aus der Glücksspielbranche und ihre sensiblen Daten ins Visier von Hackern. Aktuell ist der US-amerikanische Ident-Dienst Okta betroffen, welcher unter anderem Zugangsdaten für Online Casinos bereitstellt. Dieser bietet eine Art elektronische Signatur, was bedeutet, dass Nutzer des Serviceanbieters mit einem einzigen Login auf unterschiedliche Webseiten zugreifen können. Ein erfolgreicher Hackerangriff kann entsprechend Daten generieren, die möglicherweise ohne Anmeldung auf verschiedene Online-Angebote einen Zugang ermöglichen. Wie Okta kürzlich mitteilte, wurden durch eine Hackerattacke zahlreiche Zugangsdaten gefährdet, was potentiell zu schweren Schäden führen kann. Hat die Aufklärung des Falls mögliche Sicherheitslücken in den betroffenen Casinos aufgedeckt oder hat diese aktuelle Hackerattacke ausschließlich mit dem Zugang zu Zugriffscodes von Okta zu tun?
Cyber-Diebstahl: Zugangstocken per Hackerattacke von Ident-Dienst Okta entwendet
Beim Casino-Cyberangriff ist es den Hackern gelungen, über den Dienstleister Okta Token für den Zugang einer Reihe von Nutzern zu stehlen. In der Folge warnte das Unternehmen vor möglichen Social-Engineering-Angriffen in Bezug auf Service-Personal, nachdem es den Kriminellen aus der Cyberwelt gelungen war, sich Zugangscodes zu bemächtigen. Der Dienstleister mit Spezialisierung auf Verwaltung von Zugangsdaten und virtuellen Identitäten konnte ein massives Sicherheitsleck ausmachen, was wohl über den Kundensupport entstanden ist. Wie in einem Artikel mit dem Titel „Hacker erbeuten Zugangscodes bei Identitätsdienst Okta“ auf golem.de am 22. Oktober 2023 berichtet wird, lief die Hackerattacke über den Kundenservice des Anbieters.
Das in Kalifornien ansässige Unternehmen, das seinen Kunden unter anderem Multi-Faktor-Authentifizierung und Cloud-basierte Single-Sign-On-Lösungen anbietet, teilte am Freitag mit, es entlarve ” unbefugte Zugriffsversuche auf das Support-Fall-Management-System von Okta mit geknackten Login-Daten”. Demnach wäre es dem Hacker möglich gewesen, von bestimmten Kunden hochgeladene Dateien im Zusammenhang mit aktuellen Supportfällen einzusehen. Die Funktionalität des Okta-Produktionsservices war jedoch voll gewährleistet und nicht gefährdet. In der Folge bestätigte der Service Provider für Identitäts- und Zugangsmanagement Okta eine schwere Datenpanne, in deren Verlauf sein Kundensupport gehackt wurde.
Okta informierte am 20. Oktober 2023 unter anderem im Blog: „Man habe gegnerische Aktivitäten identifiziert, die den Zugriff auf gestohlene Zugangsdaten nutzten, um auf das Support-Fallverwaltungssystem von Okta zuzugreifen.“
Nur eine geringe Anzahl der Kunden beeinträchtigt
Dem Branchendienst Krebs on Security zufolge verfügten die Cyberkriminelle über mehr als zwei Wochen hinweg über die Plattform für die Kundenbetreuung, bis es dem betroffenen IT-Anbieter gelang, die Attacke unter Kontrolle zu bringen. Von dem Zwischenfall sei nur eine sehr geringe Kundenanzahl tangiert gewesen, teilte Okta vorerst mit. Diese wurden auch alle informiert, heißt es in einem Blog-Post der Firma aus Kalifornien. Der Angriff ereignete sich innerhalb weniger Wochen nach den großen Casino- und Hotelangriffen auf Caesars Entertainment und MGM Resorts, von denen vor allem Las Vegas betroffen war. Die Angreifer schafften es jeweils, durch Social Engineering Angestellte zum Zurücksetzen der Multi-Faktor-Login-Anforderungen für Okta-Administrator-Accounts zu bewegen. Teilweise wurden in den Spielstätten der Casino-Giganten sogar die Spielautomaten in Mitleidenschaft gezogen.
Bereits im September hatte der Provider selbst vor entsprechenden Angriffen auf IT-Servicemitarbeiter hingewiesen. Nur kurze Zeit danach bestätigte Oktas Sicherheitsdirektor David Bradbury, bei fünf Firmenkunden sei es seit vergangenem August zu Angriffen der Cyberbanden ALPHV alias BlackCat und Scattered Spider alias UNC3944 gekommen. Betroffen seien nicht nur die Firmen MGM und Caesars (mehr zum Casino-Cyberangriff lesen), sondern auch Unternehmen aus den Bereichen Produktion, Handel und Technologie. Offenkundig haben Geschäftskunden des Identity-Providers die Hackerattacke zuerst festgestellt.
Inzwischen steht fest, dass sich unter den Kunden von Okta auch die IT-Sicherheitsunternehmen BeyondTrust befindet, welche die entsprechende Warnmeldung am Donnerstag erhalten hatte. Das Unternehmen informierte Okta bereits vor rund zwei Wochen über ein mögliches Sicherheitsrisiko. Ein internes Sicherheitsprogramm von BeyondTrust signalisierte zuvor den Angriff. Man habe den Angriff sofort unterbunden, betroffen waren Kunden nicht: Individuelle Richtlinien haben die ersten Aktivitäten der Hacker abgewehrt, allerdings erlaubten es Beschränkungen in Oktas Sicherheitskonzept dem Angreifer beschränkte Aktionen durchzuführen.
Das österreichische Gegenstück zu AdmiralBet Deutschland musste 2023 über mehrere Tage schließen, da im Zuge eines Cyberangriffs die Novomatic Marke mutmaßlich sensible Daten in Gefahr waren. Erlangen Cyberkriminelle Zugang auf IT-Systeme von Glücksspielanbietern, dann ist das eine ernsthafte Bedrohung der Datensicherheit.
Bei der Fehlersuche werden die Kunden häufig nach einer Protokolldatei des Webbrowsers gefragt, häufig auch als HTTP-Archiv oder HAR-Datei bezeichnet. Dies sind sensible Datensätze, da sie unter anderem Cookies und Session-Tokens aufzeichnen. Ein Angreifer könnte sich mit ihrer Hilfe als autorisierter Benutzer anmelden. Man habe Schritte unternommen, um Kunden zu schützen, darunter das Blockieren von integrierten Session-Tokens. Im Allgemeinen wird empfohlen, dass Kunden ihre HAR-Dateien vor der Freigabe bereinigen. Außerdem nennt der Anbieter Anzeichen für eine mögliche Gefährdung wie zum Beispiel IP-Adressen und Webbrowser, mit denen die Hacker vermutlich gearbeitet haben. Dies seien vor allem die gängigen professionellen VPN-Anbieter.
BeyondTrust erklärte: „Benutzerdefinierte Kontrollrichtlinien blockierten die anfängliche Aktivität des Angreifers, aber Einschränkungen im Sicherheitsmodell von Okta ermöglichten ihm die Durchführung einiger begrenzter Aktionen.“
Hinterlasse einen Kommentar