1Password 披露与 Okta 泄露相关的安全事件

1Password 是一个被超过 10 万家企业使用的流行密码管理平台，在黑客获得其 Okta ID 管理租户的访问权限后遭遇了安全事件。

 1Password 首席技术官 Pedro Canahuati在一份非常简短的安全事件通知中写道：“我们在 Okta 实例上检测到与其支持系统事件相关的可疑活动。经过彻底调查，我们得出结论，没有访问 1Password 用户数据。” 

“9 月 29 日，我们在用于管理面向员工的应用程序的 Okta 实例上检测到可疑活动。”

“我们立即终止了该活动，进行了调查，发现用户数据或其他敏感系统（无论是面向员工还是面向用户）都没有受到损害。”

周五，Okta 披露， 威胁行为者 使用被盗凭证破坏了其支持案例管理系统。

作为这些支持案例的一部分，Okta 经常要求客户上传 HTTP 存档 (HAR) 文件以解决客户问题。但是，这些 HAR 文件包含敏感数据，包括可用于冒充有效 Okta 客户的身份验证 cookie 和会话令牌。

Okta 首先从 BeyondTrust 获悉此次泄露事件，BeyondTrust 与 Okta 共享取证数据，表明他们的支持组织受到了损害。然而，Okta 花了两周多的时间才确认此次违规行为。

Cloudflare 还在 10 月 18 日（即 Okta 披露该事件的前两天）检测到其系统上存在恶意活动。与 BeyondTrust 一样，威胁行为者使用从 Okta 支持系统窃取的身份验证令牌进入 Cloudflare 的 Okta 实例并获得管理权限。

1与 Okta 相关的密码泄露

在周一下午发布的一份报告中，1Password 表示威胁行为者使用窃取的 IT 员工会话 cookie 入侵了其 Okta 租户。

“经 Okta 支持证实，该事件与已知活动有相似之处，其中威胁行为者将危害超级管理员帐户，然后尝试操纵身份验证流程并建立辅助身份提供商来冒充受影响组织内的用户，”读取 1密码报告。

据报道，1Password IT 团队的一名成员向 Okta 提交了一个支持案例，并提供了一个由 Chrome 开发工具创建的 HAR 文件。

此 HAR 文件包含用于获得对 Okta 管理门户的未授权访问的相同 Okta 身份验证会话。

使用此访问权限，威胁行为者尝试执行以下操作：

• 尝试访问 IT 团队成员的用户仪表板，但被 Okta 阻止。

• 更新了与我们的生产 Google 环境相关的现有 IDP（Okta 身份提供商）。

• 激活 IDP。

• 要求提供管理用户报告

1Password 的 IT 团队在收到一封可疑电子邮件后，于 9 月 29 日得知了这一违规行为，该电子邮件涉及所请求的管理报告，而该报告并非员工正式请求的。

1Password 在报告中解释道：“2023 年 9 月 29 日，IT 团队的一名成员收到了一封意外的电子邮件通知，表明他们已启动包含管理员列表的 Okta 报告。”

“从那时起，我们一直与 Okta 合作，以确定最初的妥协途径。截至 10 月 20 日周五晚，我们已确认这是 Okta 支持系统遭到破坏的结果，”Canahuati 说。

然而，对于 1Password 是如何被破坏的，人们似乎有些困惑，因为 Okta 声称他们的日志直到 1Password 安全事件发生后才显示 IT 员工的 HAR 文件被访问。

1Password 表示，此后他们轮换了所有 IT 员工的凭据并修改了其 Okta 配置，包括拒绝非 Okta IDP 登录、减少管理用户的会话时间、针对管理用户更严格的 MFA 规则以及减少超级管理员的数量。

BleepingComputer 联系了 1Password，询问有关该事件的更多问题，但未立即得到回复。

原文来自:bleepingcomputer.com

原文始发于微信公众号（邑安全）：1Password 披露与 Okta 泄露相关的安全事件