| 23 октября 2023 г. — 19:46 PT
Если вы следите за миром информационной безопасности, то знаете, что недавний взлом систем поддержки Okta стал предметом многочисленных обсуждений. Теперь 1Password, популярный менеджер паролей, которому доверяют миллионы людей и более 100 000 компаний, сообщает, что злоумышленники получили доступ к его внутренней учетной записи управления Okta.
«29 сентября мы обнаружили подозрительную активность в нашем экземпляре Okta, который мы используем для управления приложениями для наших сотрудников», — поделился технический директор 1Password Педро Канауати в кратком посте в блоге. «Мы немедленно прекратили активность, провели расследование и не обнаружили компрометации пользовательских данных или других конфиденциальных систем, как для сотрудников, так и для пользователей».
В прошлую пятницу Okta сообщила, что злоумышленники использовали украденные учетные данные для доступа к системе управления обращениями в службу поддержки Okta. Компания специализируется на услугах управления идентификацией и доступом (IAM) для таких гигантов, как Peloton, Slack, Zoom и GitHub.
В рамках процесса поддержки Okta требует от бизнес-клиентов создавать файл HTTP archive, также известный как HAR-файл, который содержит запись всего трафика, отправляемого между браузером и серверами Okta. Это включает конфиденциальную информацию, такую как токены сеанса и файлы cookie для аутентификации.
По данным 1Password, член его ИТ-команды создал HAR-файл и загрузил его на портал поддержки Okta. После этого, 29 сентября, злоумышленник, используя тот же сеанс аутентификации Okta из HAR-файла, получил доступ к административному порталу 1Password Okta.
«Подтверждено, что сгенерированный HAR-файл содержал необходимую информацию для злоумышленника, чтобы перехватить сеанс пользователя», — говорится в заявлении 1Password во внутреннем отчете об инциденте безопасности.
«У нас нет доказательств, подтверждающих, что злоумышленник получил доступ к каким-либо системам за пределами Okta. Наблюдаемая нами активность указывала на то, что они провели первоначальную разведку с целью остаться необнаруженными для сбора информации для более сложной атаки».
Важно отметить, что Okta — это инструмент для бизнеса, использующий системы, полностью отделенные от мест хранения пользовательских данных, которые полностью зашифрованы и требуют мастер-ключ и пароль пользователя для расшифровки.
Тем не менее, важно серьезно относиться даже к мельчайшим нарушениям, поскольку они часто используются для создания плацдарма, который затем может быть использован для более масштабных атак.
С тех пор 1Password очистила сеансы и ротировала учетные данные для своих административных пользователей Okta. Компания также вносит несколько изменений в свою конфигурацию Okta, включая запрет входа из сторонних поставщиков идентификации (не Okta), сокращение времени сеанса для административных пользователей, ужесточение правил многофакторной аутентификации для административных пользователей и уменьшение числа супер-администраторов.
Будет интересно узнать, появится ли больше информации об этом инциденте в ближайшие недели.