Se hai tenuto d’occhio il mondo della sicurezza delle informazioni, sai che la recente violazione dei sistemi di supporto di Okta è stata tutto ciò che si è parlato. Ora, 1Password, un popolare gestore di password a cui si affidano milioni di persone e oltre 100.000 aziende, ha riferito che gli autori delle minacce hanno avuto accesso al suo account amministrativo interno di Okta.
“Il 29 settembre, abbiamo rilevato attività sospette sulla nostra istanza Okta che utilizziamo per gestire le nostre applicazioni rivolte ai dipendenti”, ha condiviso in un post il CTO di 1Password Pedro Canahuati. Breve post sul blog. “Abbiamo immediatamente interrotto l’attività, indagato e non abbiamo riscontrato alcuna compromissione dei dati degli utenti o di altri sistemi sensibili, sia diretti ai dipendenti che diretti agli utenti.”
Okta ha rivelato venerdì scorso che gli autori di attacchi hanno utilizzato credenziali rubate per accedere al sistema di gestione dei casi di supporto di Okta. L’azienda è specializzata in servizi di gestione delle identità e degli accessi (IAM) per grandi aziende come Peloton, Slack, Zoom e GitHub.
Nell’ambito del processo di supporto di Okta, i clienti aziendali sono tenuti a creare un archivio HTTP, noto anche come HAR, ovvero un file che contiene un record di tutto il traffico inviato tra il browser e i server di Okta. Ciò include informazioni sensibili come token di sessione e cookie di autenticazione.
Secondo 1Password, un membro del team IT ha creato il file HAR e lo ha caricato sul portale di supporto di Okta. Successivamente, il 29 settembre, un hacker che utilizzava la stessa sessione di autenticazione Okta del file HAR ha ottenuto l’accesso al portale amministrativo Okta di 1Password.
“È stato confermato che il file HAR generato contiene le informazioni necessarie affinché l’aggressore possa dirottare la sessione dell’utente”, afferma 1Password in un messaggio interno. Rapporto sull’incidente di sicurezza.
“…Non abbiamo prove che l’attore abbia avuto accesso a sistemi esterni a Okta. “L’attività che abbiamo osservato suggerisce che abbiano condotto una ricognizione iniziale con l’intenzione di non essere rilevati allo scopo di raccogliere informazioni per un attacco più complesso.”
Per chiarire, Okta è uno strumento orientato al business che utilizza sistemi completamente separati da quelli in cui troverai archiviati i dati dell’utente, è completamente crittografato e richiede una chiave master utente e una password per decrittografarlo.
Tuttavia, è importante prendere sul serio anche le violazioni più piccole, poiché spesso vengono utilizzate per creare un punto d’appoggio che può poi essere sfruttato per lanciare attacchi più estesi.
Da allora 1Password ha cancellato le sessioni e ruotato le credenziali per gli utenti amministrativi di Okta. L’azienda sta inoltre apportando diverse modifiche alla configurazione di Okta, incluso il rifiuto degli accessi da IDP non Okta, la riduzione dei tempi di sessione per gli utenti amministratori, il rafforzamento delle regole sull’MFA per gli utenti amministratori e la riduzione del numero di super amministratori.
Sarà interessante vedere se sapremo di più sull’incidente nelle prossime settimane.
FTC: Utilizziamo collegamenti di affiliazione automatici per guadagnare entrate. Di più.
“Creatore. Piantagrane. Amante dell’alcol hardcore. Evangelista del web. Praticante di cultura pop estrema. Studioso zombi devoto. Introverso accanito.”
