A plataforma de gerenciamento de senhas 1Password sofreu um incidente de segurança por causa da Okta ID, informou a empresa.
Okta é uma empresa americana de gerenciamento de identidade e acesso com sede em São Francisco.
Ela fornece software em nuvem que ajuda as empresas a gerenciar e proteger a autenticação de usuários em aplicativos, e para os desenvolvedores criarem controles de identidade em aplicativos, serviços web de sites e dispositivos.
Agora, a 1Password, uma plataforma popular de gerenciamento de senhas usada por mais de 100.000 empresas, sofreu um incidente de segurança depois que hackers obtiveram acesso ao seu locatário de gerenciamento Okta ID.
1Password sofreu um incidente de segurança
Sim. A 1Password sofreu um incidente de segurança. Em uma breve notificação de incidente de segurança do CTO do 1Password, Pedro Canahuati diz que:
“Detectamos atividades suspeitas em nossa instância Okta relacionadas ao incidente do sistema de suporte. Após uma investigação completa, concluímos que nenhum dado do usuário do 1Password foi acessado,”
“Em 29 de setembro, detectamos atividades suspeitas em nossa instância Okta que usamos para gerenciar nossos aplicativos voltados para funcionários.”
“Encerramos imediatamente a atividade, investigamos e não encontramos nenhum comprometimento dos dados do usuário ou de outros sistemas confidenciais, tanto voltados para funcionários quanto para usuários.”
Na sexta-feira, a Okta revelou que os agentes de ameaças violaram seu sistema de gerenciamento de casos de suporte usando credenciais roubadas.
Como parte desses casos de suporte, a Okta pede rotineiramente aos clientes que carreguem arquivos HTTP Archive (HAR) para solucionar problemas dos clientes.
No entanto, esses arquivos HAR contêm dados confidenciais, incluindo cookies de autenticação e tokens de sessão que podem ser usados para representar um cliente Okta válido.
A Okta soube da violação pela primeira vez através da BeyondTrust, que compartilhou dados forenses com a Okta, mostrando que sua organização de suporte estava comprometida. No entanto, Okta levou mais de duas semanas para confirmar a violação.
A Cloudflare também detectou atividades maliciosas em seus sistemas em 18 de outubro, dois dias antes de Okta divulgar o incidente.
Assim como o BeyondTrust, os agentes da ameaça usaram um token de autenticação roubado do sistema de suporte do Okta para entrar na instância Okta da Cloudflare e obter privilégios administrativos.
Em um relatório divulgado na tarde de segunda-feira, o 1Password afirma que os agentes de ameaças violaram seu locatário Okta usando um cookie de sessão roubado para um funcionário de TI.
“Corroborando com o suporte da Okta, foi estabelecido que este incidente compartilha semelhanças com uma campanha conhecida em que os agentes da ameaça comprometerão contas de superadministradores e, em seguida, tentarão manipular os fluxos de autenticação e estabelecer um provedor de identidade secundário para se passar por usuários dentro da organização afetada”, diz o Relatório da 1Password.
De acordo com o relatório, um membro da equipe de TI do 1Password abriu um caso de suporte com o Okta e forneceu um arquivo HAR criado a partir das ferramentas de desenvolvimento do Chrome.
Este arquivo HAR contém a mesma sessão de autenticação do Okta usada para obter acesso não autorizado ao portal administrativo do Okta.
- Tentou acessar o painel de usuário do membro da equipe de TI, mas foi bloqueado pela Okta.
- Atualizado um IDP (Okta Identity Provider) existente vinculado ao nosso ambiente de produção do Google.
- Ativou o IDP.
- Solicitou um relatório de usuários administrativos
A equipe de TI do 1Password soube dessa violação em 29 de setembro, após receber um e-mail suspeito sobre o relatório administrativo solicitado, que não era oficial, solicitado pelos funcionários.
“Em 29 de setembro de 2023, um membro da equipe de TI recebeu uma notificação inesperada por e-mail sugerindo que eles haviam iniciado um relatório Okta contendo uma lista de administradores”, explicou 1Password no relatório.
“Desde então, temos trabalhado com a Okta para determinar o vetor inicial de compromisso. Na sexta-feira, 20 de outubro, confirmamos que isso foi resultado da violação do Sistema de Apoio da Okta”, disse Canahuati.
No entanto, parece haver alguma confusão sobre como o 1Password foi violado, já que a Okta afirma que seus registros não mostram que o arquivo HAR do funcionário de TI foi acessado até depois do incidente de segurança do 1Password.
1Password afirma que desde então eles trocaram todas as credenciais dos funcionários de TI e modificaram sua configuração do Okta, incluindo a negação de logins de IDPs não-Okta, redução do tempo de sessão para usuários administrativos, regras mais rígidas sobre MFA para usuários administrativos e redução do número de superadministradores .