100.000'den fazla işletme tarafından kullanılan popüler bir şifre yönetim platformu olan 1Password, bilgisayar korsanları Okta Kimlik Yönetimi kiracısına eriştikten sonra bir güvenlik olayı yaşadı.
1Password CTO Pedro Canahuati'den çok kısa bir güvenlik olayı bildirimi, "OKTA örneğimizde destek sistemi olayıyla ilgili şüpheli etkinlik tespit ettik. Kapsamlı bir araştırmadan sonra, 1Password kullanıcı verilerine erişilmediği sonucuna vardık."
"29 Eylül'de, OKTA örneğimizde çalışanlara bakan uygulamalarımızı yönetmek için kullandığımız şüpheli etkinlikleri tespit ettik."
Diyerek şöyle devam etti: "Etkinliği derhal feshettik, araştırdık ve çalışana bakan veya kullanıcıya bakan kullanıcı verilerinden veya diğer hassas sistemlerden ödün vermedik."
Cuma günü OKTA, tehdit aktörlerinin çalınan kimlik bilgilerini kullanarak destek vaka yönetim sistemini ihlal ettiğini açıkladı.
Bu destek durumlarının bir parçası olarak OKTA, müşterilerden müşteri sorunlarını gidermek için HTTP Arşivi (HAR) dosyalarını yüklemelerini ister. Bununla birlikte, bu HAR dosyaları, geçerli bir OKTA müşterisini taklit etmek için kullanılabilecek kimlik doğrulama çerezleri ve oturum jetonları da dahil olmak üzere hassas veriler içerir.
Okta ilk olarak, adli tıp verilerini OKTA ile paylaşan ve destek organizasyonlarının tehlikeye atıldığını gösteren BeyondTrust'tan gelen ihlali öğrendi. Ancak, ihlali doğrulamak iki hafta boyunca Okta sürdü.
Cloudflare, OKTA'nın olayı açıklamasından iki gün önce 18 Ekim'de sistemlerinde kötü niyetli etkinlik tespit etti. BeyondTrust gibi, tehdit aktörleri de OKTA'nın destek sisteminden Cloudflare'nin Okta örneğine dönüp idari ayrıcalıklar kazanmak için çalınan bir kimlik doğrulama jetonu kullandılar.
Pazartesi öğleden sonra yayınlanan bir raporda, 1Password, tehdit aktörlerinin bir BT çalışanı için çalıntı bir oturum çerezi kullanarak Okta kiracısını ihlal ettiğini söylüyor.
"OKTA desteği ile desteklenen bu olayın, tehdit aktörlerinin süper yönetici hesaplarını tehlikeye atacağı, daha sonra kimlik doğrulama akışlarını manipüle etmeye ve etkilenen kuruluş içindeki kullanıcıları taklit etmek için ikincil bir kimlik sağlayıcısı oluşturmaya çalıştığı bilinen bir kampanyanın benzerliklerini paylaştığı tespit edildi." 1Password raporu.
Rapora göre, 1Password BT ekibinin bir üyesi OKTA ile bir destek vakası açtı ve Chrome Dev Tools'dan oluşturulan bir HAR dosyası sağladı.
Bu HAR dosyası, OKTA yönetim portalına yetkisiz erişim elde etmek için kullanılan aynı OKTA kimlik doğrulama oturumunu içerir.
Bu erişimi kullanarak, tehdit oyuncusu aşağıdaki eylemleri gerçekleştirmeye çalıştı:
1Password's BT ekibi, çalışanlar tarafından talep edilen resmi rapor hakkında şüpheli bir e -posta aldıktan sonra 29 Eylül'de bu ihlali öğrendi.
Raporda 1Password, "29 Eylül 2023'te BT ekibinin bir üyesi, yöneticilerin bir listesini içeren bir OKTA raporu başlattıklarını öne süren beklenmedik bir e -posta bildirimi aldı."
Canahuati, "O zamandan beri, ilk uzlaşma vektörünü belirlemek için OKTA ile birlikte çalışıyoruz. 20 Ekim Cuma gününün sonlarında, bunun OKTA’nın destek sistemi ihlalinin bir sonucu olduğunu doğruladık." Dedi.
Bununla birlikte, OKTA'nın günlüklerinin BT çalışanının HAR dosyasına 1Password’in güvenlik olayından sonra erişildiğini göstermediğini iddia ettiği için, 1Password'un nasıl ihlal edildiğine dair bazı karışıklıklar var gibi görünüyor.
1Password, o zamandan beri BT çalışanlarının tüm kimlik bilgilerini döndürdüğünü ve OKTA olmayan IDP'lerden gelen girişleri reddetmek, idari kullanıcılar için oturum sürelerini azaltmak, idari kullanıcılar için MFA ile ilgili daha sıkı kuralları azaltmak ve süper yöneticilerin sayısını azaltmak da dahil olmak üzere OKTA yapılandırmalarını değiştirdiklerini belirtir. .
BleepingComputer olayla ilgili daha fazla soru ile 1Password ile temasa geçti, ancak bir cevap hemen mevcut değildi.
Okta, destek sisteminin çalınan kimlik bilgileri kullanılarak ihlal edildiğini söylüyor
Lyca Mobile, siber saldırıdan sonra müşteri veri sızıntısını araştırıyor
Sydney Üniversitesi veri ihlali son başvuru sahiplerini etkiler
Logicmonitor müşterileri bildirilen fidye yazılımı saldırılarında hacklendi
Fidye yazılımı gitmiyor - sorun sadece kötüleşiyor
Kaynak: Bleeping Computer