Το 1Password, μια δημοφιλής πλατφόρμα διαχείρισης κωδικών πρόσβασης που χρησιμοποιείται από περισσότερες από 100.000 επιχειρήσεις, υπέστη παραβίαση ασφαλείας αφού χάκερ απέκτησαν πρόσβαση στον ενοικιαστή διαχείρισης του Okta ID.
“Εντοπίσαμε ύποπτη δραστηριότητα στην παρουσία μας Okta που σχετίζεται με το περιστα
τι
κό του συστήματος υποστήριξης. Μετά από ενδελεχή έρευνα, καταλήξαμε στο συμπέρασμα ότι δεν έγινε πρόσβαση σε δεδομένα χρήστη 1Password”, αναφέρεται σε μια πολύ σύντομη
ειδοποίηση περιστατικού ασφαλείας
από 1Password CTO Pedro Canahuati.
“Στις 29 Σεπτεμβρίου, εντοπίσαμε ύποπτη δραστηριότητα στην παρουσία μας Okta που χρησιμοποιούμε για τη διαχείριση των εφαρμογών μας που αντιμετωπίζουν
εργαζόμενοι
.”
“Τερματίσαμε αμέσως τη δραστηριότητα, διερευνήσαμε και δεν βρήκαμε κανέναν παραβίαση των δεδομένων χρήστη ή άλλων ευαίσθητων συστημάτων, είτε αντιμετωπίζουν εργαζόμενους είτε αντιμετωπίζουν χρήστες.”
Την Παρασκευή, η Okta αποκάλυψε ότι οι φορείς απειλών παραβίασαν το σύστημα διαχείρισης υποθέσεων υποστήριξης χρησιμοποιώντας κλεμμένα διαπιστευτήρια.
Ως μέρος αυτών των υποθέσεων υποστήριξης, η Okta ζητά τακτικά από τους πελάτες να ανεβάσουν
Αρχείο HTTP (HAR)
αρχεία για την αντιμετώπιση προβλημάτων πελατών. Ωστόσο, αυτά τα αρχεία HAR περιέχουν ευαίσθητα δεδομένα, συμπεριλαμβανομένων των cookie ελέγχου ταυτότητας και των διακριτικών συνεδρίας που μπορούν να χρησιμοποιηθούν για την πλαστοπροσωπία ενός έγκυρου πελάτη της Okta.
Η Okta έμαθε για πρώτη φορά για την παραβίαση από την BeyondTrust, η οποία μοιράστηκε ιατροδικαστικά δεδομένα με την Okta, δείχνοντας ότι ο οργανισμός υποστήριξής τους είχε παραβιαστεί. Ωστόσο, η Okta χρειάστηκε πάνω από δύο εβδομάδες για να επιβεβαιώσει την παραβίαση.
Η
Cloudflare
εντόπισε επίσης κακόβουλη δραστηριότητα στα συστήματά της στις 18 Οκτωβρίου, δύο ημέρες πριν η Okta αποκαλύψει το περιστατικό. Όπως το BeyondTrust, οι φορείς απειλών χρησιμοποίησαν ένα διακριτικό ελέγχου ταυτότητας που κλάπηκε από το σύστημα υποστήριξης της Okta για να περιστραφούν στην παρουσία Okta του Cloudflare και να αποκτήσουν δικαιώματα διαχειριστή.
1 Παραβίαση κωδικού πρόσβασης που συνδέεται με το Okta
Σε μια αναφορά που κυκλοφόρησε τη Δευτέρα το απόγευμα, η 1Password λέει ότι οι απειλές παραβίασαν τον μισθωτή της Okta χρησιμοποιώντας ένα κλεμμένο cookie συνεδρίας για έναν υπάλληλο πληροφορικής.
“Επιβεβαιώνοντας με την υποστήριξη της Okta, διαπιστώθηκε ότι αυτό το περιστατικό έχει κοινές ομοιότητες με μια γνωστή καμπάνια όπου οι παράγοντες απειλών θα παραβιάσουν λογαριασμούς σούπερ διαχειριστή και στη συνέχεια θα προσπαθήσουν να χειραγωγήσουν τις ροές ελέγχου ταυτότητας και να δημιουργήσουν έναν δευτερεύοντα πάροχο ταυτότητας για να πλαστοπροσωπήσουν τους χρήστες εντός του επηρεαζόμενου οργανισμού”, αναφέρει η
1 Αναφορά κωδικού πρόσβασης
.
Σύμφωνα με την αναφορά, ένα μέλος της ομάδας IT 1Password άνοιξε μια θήκη υποστήριξης με την Okta και παρείχε ένα αρχείο HAR που δημιουργήθηκε από τα
Εργα
λεία προγραμματιστών Chrome.
Αυτό το αρχείο HAR περιέχει την ίδια περίοδο λειτουργίας ελέγχου ταυτότητας Okta που χρησιμοποιήθηκε για την απόκτηση μη εξουσιοδοτημένης πρόσβασης στη διαχειριστική πύλη Okta.
Χρησιμοποιώντας αυτήν την πρόσβαση, ο παράγοντας απειλής επιχείρησε να εκτελέσει τις ακόλουθες ενέργειες:
- Προσπάθησε να αποκτήσει πρόσβαση στον πίνακα ελέγχου χρήστη του μέλους της ομάδας IT, αλλά αποκλείστηκε από την Okta.
- Ενημερώθηκε ένα υπάρχον IDP (Okta Identity Provider) που συνδέεται με το περιβάλλον παραγωγής της Google.
- Ενεργοποίησε το IDP.
- Ζήτησε μια αναφορά διαχειριστών χρηστών
Η ομάδα IT του 1Password έμαθε για αυτήν την παραβίαση στις 29 Σεπτεμβρίου αφού έλαβε ένα ύποπτο μήνυμα ηλεκτρονικού ταχυδρομείου σχετικά με την αιτούμενη διοικητική αναφορά που δεν ζητήθηκε επίσημα από τους υπαλλήλους.
«Στις 29 Σεπτεμβρίου
2023
ένα μέλος της ομάδας IT έλαβε μια απροσδόκητη ειδοποίηση μέσω email που υποδηλώνει ότι είχαν ξεκινήσει μια αναφορά Okta που περιείχε μια λίστα διαχειριστών», εξηγεί το 1Password στην αναφορά.
“Από τότε, εργαζόμαστε με την Okta για να καθορίσουμε τον αρχικό φορέα συμβιβασμού. Από αργά την Παρασκευή, 20 Οκτωβρίου, επιβεβαιώσαμε ότι αυτό ήταν αποτέλεσμα παραβίασης του Συστήματος Υποστήριξης της Okta”, είπε ο Καναχουάτι.
Ωστόσο, φαίνεται να υπάρχει κάποια σύγχυση σχετικά με τον τρόπο παραβίασης του 1Password, καθώς η Okta ισχυρίζεται ότι τα αρχεία καταγραφής της δεν δείχνουν ότι έγινε πρόσβαση στο αρχείο HAR του υπαλλήλου IT παρά μόνο μετά το περιστατικό ασφαλείας του 1Password.
Το 1Password δηλώνει ότι έκτοτε έχουν περιστρέψει όλα τα διαπιστευτήρια του υπαλλήλου πληροφορικής και έχουν τροποποιήσει τη διαμόρφωση του Okta, συμπεριλαμβανομένης της άρνησης σύνδεσης από μη Okta IDP, της μείωσης του χρόνου συνεδρίας για διαχειριστικούς χρήστες, των αυστηρότερων κανόνων για το MFA για τους διαχειριστές και της μείωσης του αριθμού των υπερδιαχειριστών .
Η BleepingComputer επικοινώνησε με το 1Password με περαιτέρω ερωτήσεις σχετικά με το περιστατικό, αλλά δεν υπήρξε άμεση απάντηση.
VIA:
bleepingcomputer.com
