Door Anoniem: Okta support kan geen wachtwoorden resetten, Okta support kan wel het proces starten om een wachtwoord te resetten. De gebruiker krijgt dan een llink via e-mail en moet dan zelf nog steeds actie ondernemen en een nieuw wachtwoord kiezen.
Dit is exact hetzelfde als de “Forgot your password?”-links die voor veel sites openlijk toegankelijk zijn. De impact van een dergelijke toegang is klein.
Dus je bevestigd eigenlijk wat lapsus schrijft? ‘dat het bedrijf niet de waarheid spreekt’.
Lapsus schrijft zelf dat ze waren ingelogd op een superuser portal en dus meer rechten hadden dan de externe support engineer.
Dit gaat een flinke staart krijgen!
Ik zeg dat de toegang die Lapsus had i.v.m. PW reset voor veel apps sowieso een publiek toegankelijke functionaliteit is. (Voor Okta is het al dan niet publiekelijk exposen van deze functie in te stellen door de klant zelf, enkel klanten die dit uitgezet hebben zouden dus mogelijk een reset e-mail hebben gekregen.)
Veel impact is er dus niet.
“Super User” is de naam van de tool die wordt gebruikt door de helpdesk medewerkers, ook externe support engineers kunnen daaraan.
De meeste andere beweringen van Lapsus kunnen niet gestaafd worden en houden ook niet steeds steek als je weet hoe Okta in elkaar zit.
Kortom: Een 3rd party werd gebreached die toegang gaf tot een beperkte Okta support omgeving. De Okta security controls hebben gewerkt om te voorkomen dat Okta zelf gebreached werd of de aanval zich kon uitbreiden.
Qua imagoschade is er natuurlijk wel iets aan de hand, qua security impact veel minder.
Bron: Security.nl