Lapsus$ hackte Okta met wachtwoorden uit gestolen spreadsheet

Hackersgroep Lapsus$ is bij softwarebedrijf Okta binnengekomen met wachtwoorden uit een gestolen spreadsheet, meldt TechCrunch maandag op basis van interne documenten. De spreadsheet zou afkomstig zijn van het bedrijf Sitel, dat klantenservicetaken voor Okta uitvoert.

Volgens de documenten die TechCrunch heeft ingezien, is Lapsus$ op 21 januari binnengedrongen bij Sitel. Okta's klanten hoorden pas op 22 maart van de hack. Het hackerscollectief had namelijk afbeeldingen van de interne werkomgeving van Okta via Telegram gedeeld.

Naast een gedetailleerde tijdlijn bevatten de documenten meer informatie over hoe Lapsus$ heeft ingebroken. Dit deden de hackers via een VPN-verbinding die Sitel gebruikte op het oude netwerk van zijn dochterbedrijf Sykes. VPN's (Virtual Private Networks) zijn vaak een doelwit, omdat hackers ze kunnen gebruiken om op afstand toegang te krijgen tot het netwerk van een bedrijf.

Toen Lapsus$ eenmaal binnen was, gebruikte de groep onder meer openbaar beschikbare hackingtools om zich door Sitels netwerk te bewegen. Vermoedelijk heeft het collectief op 21 januari de spreadsheet met wachtwoorden buitgemaakt. Later op de dag maakten de hackers een Sykes-gebruikersaccount aan. Vervolgens voegden ze het account toe aan een gebruikersgroep die toegang heeft tot veel belangrijke onderdelen van het systeem. Waarschijnlijk heeft Lapsus$ dit gedaan om op een later moment toegang te krijgen tot Sitels netwerk.

Okta heeft inmiddels zijn excuses aangeboden voor zijn trage reactie op het datalek. Het bedrijf was op de hoogte van de mogelijke inbraak bij Sitel, maar hield zich stil. Okta verklaart te hebben gedacht dat de hack weinig impact op klanten zou hebben.