1Password revela incidente de segurança vinculado à violação da Okta
24 de Outubro de 2023

O 1Password, uma plataforma popular de gerenciamento de senhas usada por mais de 100.000 empresas, enfrentou um incidente de segurança depois que hackers obtiveram acesso ao seu sistema de gerenciamento de identidade Okta.

"Detectamos atividade suspeita em nossa instância Okta relacionada ao incidente em nosso sistema de suporte.

Após uma investigação detalhada, concluímos que nenhum dado do usuário do 1Password foi acessado", diz uma notificação de incidente de segurança muito breve do CTO do 1Password, Pedro Canahuati.

"Em 29 de setembro, detectamos atividade suspeita em nossa instância Okta que usamos para gerenciar nossos aplicativos internos para funcionários."

"Encerramos imediatamente a atividade, investigamos e não encontramos comprometimento de dados do usuário ou de outros sistemas sensíveis, seja voltado para funcionários ou usuários."

Na sexta-feira, a Okta divulgou que atores ameaçadores violaram seu sistema de gerenciamento de casos de suporte usando credenciais roubadas.

Como parte desses casos de suporte, a Okta rotineiramente pede aos clientes que carreguem arquivos HTTP Archive (HAR) para solucionar problemas do cliente.

No entanto, esses arquivos HAR contêm dados sensíveis, incluindo cookies de autenticação e tokens de sessão que podem ser usados para se passar por um cliente Okta válido.

A Cloudflare também detectou atividade maliciosa em seus sistemas em 18 de outubro, dois dias antes da divulgação do incidente pela Okta.

Assim como a BeyondTrust, os atores ameaçadores usaram um token de autenticação roubado do sistema de suporte da Okta para se infiltrar na instância Okta da Cloudflare e obter privilégios administrativos.

Em um relatório divulgado na tarde de segunda-feira, o 1Password afirma que os atores ameaçadores invadiram sua instância Okta usando um cookie de sessão roubado de um funcionário de TI.

"Corroborando com o suporte da Okta, foi estabelecido que esse incidente compartilha semelhanças com uma campanha conhecida, na qual os atores ameaçadores comprometem contas de super administradores e tentam manipular fluxos de autenticação para estabelecer um provedor de identidade secundário para se passar por usuários dentro da organização afetada", diz o relatório do 1Password.

De acordo com o relatório, um membro da equipe de TI do 1Password abriu um caso de suporte com a Okta e forneceu um arquivo HAR criado a partir das ferramentas de desenvolvimento do Chrome.

Este arquivo HAR contém a mesma sessão de autenticação Okta usada para obter acesso não autorizado ao portal administrativo do Okta.

Usando esse acesso, o ator ameaçador tentou realizar as seguintes ações:

- Tentou acessar o painel do usuário da equipe de TI, mas foi bloqueado pela Okta.
- Atualizou um provedor de identidade existente (Provedor de Identidade Okta) vinculado ao nosso ambiente de produção do Google.
- Ativou o provedor de identidade.
- Solicitou um relatório de usuários administrativos

A equipe de TI do 1Password soube deste incidente em 29 de setembro, após receber um e-mail suspeito sobre o relatório administrativo solicitado que não foi oficialmente solicitado pelos funcionários.

"Em 29 de setembro de 2023, um membro da equipe de TI recebeu uma notificação de e-mail inesperada sugerindo que eles haviam iniciado um relatório Okta contendo uma lista de administradores", explicou o 1Password no relatório.

"Desde então, estamos trabalhando com a Okta para determinar o vetor inicial de comprometimento. Até a última sexta-feira, 20 de outubro, confirmamos que isso foi resultado da violação do Sistema de Suporte da Okta", disse Canahuati.

No entanto, parece haver alguma confusão sobre como o 1Password foi comprometido, pois a Okta afirma que seus registros não mostram que o arquivo HAR do funcionário de TI foi acessado até depois do incidente de segurança do 1Password.

O 1Password afirma que desde então rotacionaram todas as credenciais dos funcionários de TI e modificaram sua configuração do Okta, incluindo a negação de logins de provedores de identidade não-Okta, a redução do tempo de sessão para usuários administrativos, regras mais rigorosas de MFA para usuários administrativos e a redução do número de super administradores.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...