Разработчики компании 1Password, чью платформу для управления паролями используют более 100 000 компаний и миллионы пользователей, сообщают, что обнаружили подозрительную активность в учетной записи, которую 1Password предоставляет поставщик систем управления доступом и идентификацией Okta.
«29 сентября мы обнаружили подозрительную активность на нашем инстансе Okta, который мы используем для управления приложениями, предназначенными для сотрудников. Мы немедленно прекратили эту активность, провели расследование и не обнаружили компрометации данных пользователей или других важных систем, как связанных с нашими сотрудниками, так и с пользователями», — пишет в официальном уведомлении технический директор 1Password Педро Канахуати (Pedro Canahuati).
Напомним, что ранее компания Okta сообщила, что пострадала от хакерской атаки. Злоумышленники использовали украденные учетные данные и получили доступ к файлам, содержащим cookie и токены сеансов, которые клиенты компании загружали в систему управления поддержкой.
В частности, в руки атакующих попали файлы HTTP Archive (HAR), которые нужны для воспроизведения возникающих у пользователей ошибок и используются в ходе устранении различных проблем. Эти файлы могут содержать конфиденциальные данные, включая cookies и токены сеансов, которые теперь могут использоваться хакерами для захвата учетных записей клиентов Okta.
Ранее об атаках, связанных с этой компрометацией, уже сообщили компании BeyondTrust и Cloudflare. Теперь же представители 1Password рассказывают, что злоумышленники проникли в тенант Okta, используя украденный у ИТ-сотрудника сессионный файл cookie.
«В результате общения со службой поддержки Okta было установлено, что данный инцидент имеет сходство с известной кампанией, в рамках которой злоумышленники компрометируют учетные записи супер-администраторов, а затем пытаются манипулировать процессами аутентификации, чтобы выдавать себя за пользователей пострадавшей организации», — гласит опубликованный 1Password отчет.
Все началось с того, что один из сотрудников ИТ-подразделения 1Password использовал службу поддержки Okta и предоставил ей HAR-файл, созданный с помощью Chrome Dev Tools. Этот файл был связан с той же сессией аутентификации Okta, которая позже использовалась для получения несанкционированного доступа к административному порталу Okta.
Используя этот доступ, хакер попытался выполнить следующие действия:
- получить доступ к пользовательской панели сотрудника ИТ-подразделения, но был заблокирован Okta;
- обновил существующий IDP (Okta Identity Provider), привязанный к корпоративной среде Google;
- активировал IDP;
- запросил отчет о пользователях-администраторах.
Специалисты 1Password узнали о происходящем 29 сентября 2023 года, получив подозрительное письмо, информировавшее о запрошенном отчете со списком администраторов, который сами сотрудники компании не запрашивали.
«С тех пор мы работали вместе с Okta, чтобы определить изначальный вектор компрометации. По состоянию на вечер пятницы, 20 октября, мы подтвердили, что это произошло в результате взлома системы поддержки Okta», — заявляет Канахуати.
Интересно, что при этом в Okta утверждают, что в логах на ее стороне указано, что посторонние не получали доступ к HAR-файлу сотрудника 1Password до компрометации компании. Якобы это произошло уже после, то есть не являлось первопричиной взлома.
В свою очередь представители 1Password утверждают, что после обнаружения атаки все учетные данные ИТ-сотрудника сразу были изменены вместе с конфигурацией Okta. Так, был включен запрет на вход с IDP, не относящихся к Okta, время сеансов для администраторов сократили, а также для них ужесточили правила многофакторной аутентификации, и сократили количество суперадминистраторов.
