Если вы следите за миром информационной безопасности, то знаете, что недавнее нарушение систем поддержки Okta было предметом всех разговоров. Теперь 1Password, популярный менеджер паролей, которому доверяют миллионы людей и более 100 000 компаний, сообщает, что злоумышленники получили доступ к его внутренней учетной записи управления Okta.
«29 сентября мы обнаружили подозрительную активность на нашем экземпляре Okta, который мы используем для управления нашими приложениями для сотрудников», — поделился в кратком сообщении в блоге технический директор 1Password Педро Канауати. «Мы немедленно прекратили эту деятельность, провели расследование и не обнаружили никакого компрометации пользовательских данных или других конфиденциальных систем, как для сотрудников, так и для пользователей».
В прошлую пятницу Okta сообщила, что злоумышленники использовали украденные учетные данные для доступа к системе управления обращениями в службу поддержки Okta. Компания специализируется на услугах управления идентификацией и доступом (IAM) для таких крупных компаний, как Peloton, Slack, Zoom и GitHub.
В рамках процесса поддержки Okta бизнес-клиентам требуется создать HTTP-архив, также известный как HAR, файл, содержащий запись всего трафика, передаваемого между браузером и серверами Okta. Сюда входит конфиденциальная информация, такая как токены сеанса и файлы cookie аутентификации.
По данным 1Password, член ее ИТ-команды создал HAR-файл и загрузил его на портал поддержки Okta. После этого 29 сентября злоумышленник, используя тот же сеанс аутентификации Okta из файла HAR, получил доступ к административному порталу Okta 1Password.
«Было подтверждено, что сгенерированный HAR-файл содержал необходимую информацию, позволяющую злоумышленнику перехватить сеанс пользователя», — говорится в отчете 1Password в отчете об инциденте внутренней безопасности.
«…У нас нет доказательств того, что злоумышленник имел доступ к каким-либо системам за пределами «Окты». Действия, которые мы видели, позволяют предположить, что они провели первоначальную разведку с намерением остаться незамеченными и собрать информацию для более сложной атаки».
Чтобы внести ясность, Okta — это инструмент для бизнеса, который использует системы, полностью отделенные от тех, где вы можете найти пользовательские данные, которые полностью зашифрованы и требуют главного ключа и пароля пользователя для расшифровки.
Однако важно серьезно относиться даже к незначительным событиям безопасности, поскольку они часто используются для создания точки опоры в сети, которую затем можно использовать для более масштабных атак.
С тех пор 1Password очистил сеансы и сменил учетные данные для своих административных пользователей Okta. Компания также вносит несколько изменений в свою конфигурацию Okta, в том числе запрещает вход в систему IDP, не являющимся пользователем Okta, сокращает время сеанса для пользователей с правами администратора, ужесточает правила MFA для пользователей с правами администратора и сокращает количество суперадминистраторов.
Будет интересно посмотреть, узнаем ли мы больше об инциденте в ближайшие недели.
Следуйте за Арином: ТвиттерLinkedIn
