De Lapsus$-hackers die eerder deze maand securitybedrijf Okta hackten, vonden eerder een spreadsheet met wachtwoorden bij een onderaannemer van het bedrijf. Via dat bedrijf, Sitel, wisten de hackers mogelijk in de Okta-systemen te komen.
De aanvallers die eerder binnendrongen bij Okta gebruikten daarvoor mogelijk wachtwoorden die ze bij Sitel hadden gevonden, schrijft Techcrunch op basis van documenten rondom de hack. In die documenten staan meer details over hoe de aanvallers klantenservicebedrijf Sitel hackten en van daaruit bij Okta binnen wisten te komen. Okta besteedde klantenservicetaken uit aan Sitel. Volgens de documenten zouden de Lapsus$-hackers daar op 21 januari zijn binnengedrongen. Dat gebeurde via een vpn die Sitel op een oud netwerk van moederbedrijf Sykes gebruikte.
De hackers bewogen zich vervolgens door het netwerk van Sitel heen door diensten voor remote access en openbaar beschikbare hackingtools te gebruiken. Daarbij zou ook de Azure-omgeving zijn binnengedrongen. De hackers hadden vijf dagen toegang tot Sitels systemen. Daarna resette Sitel alle wachtwoorden op het netwerk.
Tijdens de zoektocht in Sitels netwerk vonden de hackers een bestand genaamd DomAdmins-LastPass.xlsx. Dat zou volgens Techcrunch mogelijk een export zijn van een LastPass-account. Vijf uur na de vondst wisten de aanvallers de netwerken van Okta binnen te komen. Ook maakten de hackers een achterdeur aan door een nieuwe gebruiker aan te maken op het netwerk van Sitel-moederbedrijf Sykes, voor het geval ze zouden worden buitengesloten. Hoewel de documenten niet specifiek melden of de wachtwoorden in de spreadsheet werden gebruikt om bij Okta binnen te komen, komt dat wel overeen met de tijdlijn van de hack.
Okta heeft inmiddels in een faq zijn excuses aangeboden voor de trage reactie op het lek. "We hebben een fout gemaakt. Sitel is onze dienstverlener waar wij eindverantwoordelijk voor zijn", schrijft het bedrijf. Okta wist al een tijd over een mogelijke inbraak bij Sitel, maar kwam daar niet mee naar buiten. Het bedrijf zegt nu dat het dacht dat er weinig risico voor klanten zou zijn.
Bron: Tweakers.net