Cloudflare dook dieper in het datalek bij Okta dat plaatsvond in november 2023. Het bedrijf vormde één van de slachtoffers van het datalek en werd later ook zelf gehackt. Uit onderzoek blijkt nu dat de hackers naar alle waarschijnlijkheid banden hebben met de Chinese overheid.
Cloudflare werd op 23 november 2023 slachtoffer van een cyberaanval. De aanval volgde op een datalek bij Okta eerder die periode waarin hackers HAR-bestanden buitmaakten. Deze bestanden bevatten informatie over browseractiviteiten en werden door de hackers ingezet in session hijacking-aanvallen.
Uit intern onderzoek van Cloudflare bleek dat de hackers binnendrongen via een interne Atlassian-server. Het security-team ontdekte het hack op 23 november 2023 en sloot daarop de hackers uit de systemen. De hackers zouden op 14 november voor het eerst verbinding hebben proberen te leggen met de server om de virtuele omgeving te verkennen. Op 22 november zetten de hackers een persmanente toegang op met de server, die dus ongeveer één dag actief bleef.
Gevolg van Okta-hack
De onderzoekers geven verder een inkijk op de relatie tussen het hack bij Okta en de aanval op Cloudflare. Tijdens het datalek zouden de hackers één toegang-token en de gegevens van drie service-accounts van Cloudflare hebben buitgemaakt. Met die data kon de aanval op de Atlassian-server plaatsvinden.
Het bedrijf geeft toe zelf in de fout te zijn door de inloggegevens niet te wijzigen na de hack op Okta. Dat zou intussen wel gebeurd zijn. De identiteits- en toegangsaanbieder riep wel op strengere security-protocollen toe te passen en de nodige maatregel te ondernemen na de bekendmaking van het datalek.
De gevolgen van de aanval op Cloudflare blijven gelukkig beperkt. Zo zouden er geen klantengegevens zijn gestolen en werden de systemen niet geïnfecteerd. De hacker richtte geen schade aan door de sterke beveiliging van Cloudflare, dat bestaat uit onder andere toegangscontrole, firewalls en zero trust-tools, geeft het bedrijf zelf aan.
Update: Okta stuurde na publicatie van dit artikel een officieel statement. Dat hebben we hieronder toegevoegd (in het Engels):
“This is not a new incident or disclosure on the part of Okta. On October 19th, we notified customers, shared guidance to rotate credentials, and provided indicators of compromise (IoCs) related to the October security incident. We can’t comment on our customers’ security remediations.”
Lees ook: Okta meldt datadiefstal uit ticketsysteem van klantenservice -update