Побочный эффект Okta: стоит ли переживать за безопасность паролей 1Password?

Популярный менеджер паролей 1Password обнаружил подозрительную активность в своем экземпляре Okta, связанную с инцидентом в системе поддержки клиентов. По словам представителя 1Password, данные пользователей не были затронуты. 1Password использует услуги Okta, крупнейшего поставщика инструментов безопасности, для управления приложениями, предназначенными для сотрудников.

В 1Password заявили, что компания прекратила вредоносную активность, провела расследование и убедилась, что «данные пользователей или другие чувствительные системы, включая системы для сотрудников и для пользователей, не были скомпрометированы».

Причиной компрометации стало нарушение в системе поддержки Okta. В своем публичном заявлении Okta заявила, что хакеры украли учетные данные для доступа к системам управления обращениями в службу поддержки и могли просматривать файлы, загруженные определенными клиентами в рамках недавних обращений в службу поддержки.

Отметим, что в ходе атаки злоумышленники обращались в службы техподдержки клиентов Okta, выдавая себя за реальных сотрудников компании. Сотрудник из ИТ-отдела1Password по просьбе службы поддержки Okta предоставил хакеру HAR-файл, сделанный через Chrome Dev Tools, и загрузил его на портал Okta. HAR-файл включал в себя всю активность между браузером и серверами Okta, в том числе и чувствительные данные, такие как сессионные куки.

29 сентября киберпреступник использовал тот же сеанс Okta, который был зафиксирован в HAR-файле, чтобы попасть в админ-портал Okta и попробовал совершить следующие действия:

• Попытался войти в панель управления сотрудника из ИТ-отдела. Попытка была заблокирована системой Okta;
• Обновил существующую службу IDP, связанную с рабочим аккаунтом 1Password в Google;
• Активировал IDP;
• Запросил список администраторов. После этого действия сотрудник ИТ-отдела получил письмо с предупреждением, что вызвало немедленное вмешательство.

Отметим, что это не первый крупный киберинцидент в системах Okta. В сентябре хакеры получили привилегии суперадминистратора в системах компании Okta с помощью атаки социальной инженерии на специалистов поддержки. Кроме того, в декабре 2022 года киберпреступники взломали репозитории Octa в GitHub и украли исходный код.