流行密码管理器1Password遭黑客攻击

本周一,身份软件巨头Okta的客户支持系统被黑客使用被盗凭证入侵,导致Okta客户上传的Cookie和会话令牌等敏感数据泄露,被攻击者利用入侵客户网络。该事件影响了大约1%的Okta客户群,已经披露的知名客户包括BeyondTrust和Cloudflare,以及流行的密码管理方案1Password。

1Password是拥有超过10万家企业用户的流行密码管理平台,本周一1Password披露,在Okta客户支持系统遭到入侵后,它于9月29日在其 Okta 实例上检测到可疑活动,但1Password重申没有用户和员工数据被访问。

1Password 表示:“我们看到的活动表明,他们进行了初步侦察,目的是不被发现,以便收集信息以进行更复杂的攻击。”

1Password 首席技术官 Pedro Canahuati在周一的通知中表示:“我们立即终止了该攻击活动,进行了调查,发现用户数据或其他敏感系统(无论是面向员工还是面向用户)都没有受到损害。”

Okta 经常要求客户上传 HTTP 存档 (HAR) 文件以解决客户问题。但是,这些 HAR 文件包含敏感数据,包括可用于冒充有效 Okta 客户的身份验证 cookie 和会话令牌。

据称,入侵Okta客户支持系统的攻击者成功窃取了1Password的 IT团队成员与 Okta 支持人员共享 HAR 文件后泄露的会话 cookie,并执行了以下一组操作:

  • 尝试访问 IT 团队成员的用户仪表板(但被 Okta 阻止)
  • 更新了与​​1Password的 Google 生产环境相关的现有 IDP
  • 激活 IDP
  • 要求提供管理员列表报告

1Password表示,在IT团队成员收到请求管理员列表报告的电子邮件后,触发了有关恶意活动的警报。

1Password 随后采取了一系列措施来增强安全性,包括:

  • 轮换所有IT员工的凭据并修改了Okta配置
  • 拒绝非 Okta IDP 登录
  • 减少管理用户的会话时间
  • 更严格的管理员多重身份验证 (MFA) 规则
  • 减少超级管理员的数量

1Password 表示:“Okta方面证实,该事件与已知活动有相似之处,攻击者将入侵超级管理员帐户,然后尝试操纵身份验证流程,添加辅助身份提供商来冒充受影响组织内的用户。”

值得注意的是,1Password事件调查中披露的一些细节引发了人们对1Password员工安全意识和安全实践的担忧,例如:

  • 泄露令牌的HAR文件是1Password员工在公司活动后用酒店WiFi上传的(不过并没有证据显示该数据在WiFi网络泄露或截获)
  • 调查人员使用免费版Malwarebytes扫描涉事员工的Mac笔记本电脑并表示没有发现任何可疑活动或恶意软件。
  • IT团队轮换了所有登录凭证,并强制使用Yubikey硬件密钥MFA登录。(1Password管理员此前未强制使用硬件密钥登录)

而且,1Password安全事件的调查结果仍存在一些令人困惑的地方,例如Okta 声称其日志显示,1Password员工的HAR文件在其安全事件发生后才被攻击者访问。

这意味着1Password的员工令牌有可能在此前的安全事件中已经泄露,因为Okta此前曾警告过有攻击者为获取高级管理员权限而精心策划了针对Okta的社会工程攻击,而且过去两年中Okta接连发生多起安全事件:

  • 2022年Okta 披露Lapsus$ 数据勒索组织于同年1月获得对其管理控制台的访问权限后,其部分客户数据被泄露。
  • 此后Okta通过短信发送给客户的一次性密码 (OTP) 也被威胁组织Scatter Swine(又名 0ktapus)利用社会工程攻击窃取,该组织于 2022 年 8 月入侵了云通信公司 Twilio。
  • 2022年12月,Okta在其GitHub存储库遭到黑客攻击后披露了自己的源代码被盗事件。
  • 今年9月,Okta 旗下的身份验证服务提供商 Auth0透露,一些较旧的源代码存储库被使用未知方法从其环境中窃取。

目前尚不清楚最新攻击是否与Scattered Spider(又名 0ktapus、Scatter Swine 或 UNC3944)有任何联系,后者有使用社会工程攻击针对 Okta 以获得提升权限的记录。

最后,有安全专家指责Okta的事件缓解措施不力。例如,HAR作为结构化文档,其数据脱敏没有任何技术难度,但是Okta推荐的缓解措施居然是要求客户完成清理工作再上传。此外,该事件的检测和响应措施也严重依赖BeyondTrust和Cloudflare这两个受害客户。

参考链接:

https://blog.1password.com/files/okta-incident/okta-incident-report.pdf

https://thehackernews.com/2023/10/1password-detects-suspicious-activity.html

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:
标签:


关于作者

升华安全佳,安全看世界。GoUpSec以国际化视野服务于网络安全决策者人群,致力于成为国际一流的调研、分析、媒体、智库机构。