密码管理器应用程序是寻求访问用户帐户和密码组合的黑客的高优先级目标。1Password是最受欢迎的管理应用程序之一,这使其成为此类攻击的主要候选者。该公司刚刚披露了一次影响其Okta账户的轻微违规行为。但1Password明确表示,获得支持系统临时访问权限的第三方并未访问任何用户数据或密码。
1Password在检测到Okta黑客事件近一个月后于10月23日披露了该事件:
9月29日,我们在用于管理面向员工的应用程序的Okta实例上检测到可疑活动。我们立即终止了该活动,进行了调查,发现用户数据或其他敏感系统(无论是面向员工还是面向用户)都没有受到损害。
Okta于10月20日宣布了影响其支持系统的黑客攻击。
如果您使用密码管理器应用程序,您会很高兴看到1Password如何处理此事,包括披露。与去年大规模的LastPass黑客攻击相比,该黑客攻击现在与一连串价值数百万美元的加密货币盗窃案有关。攻击者成功窃取了最终用户的加密密码库。
LastPass在及时披露攻击方面做得很糟糕。其中包括去年圣诞节前几天向用户发出警告。
回到1Password,该公司更详细地解释了9月29日发生违规事件时发生的情况:
2023年9月29日,IT团队的一名成员收到了一封意外的电子邮件通知,表明他们已启动包含管理员列表的Okta报告。他们认识到他们没有启动管理报告并提醒我们的安全事件响应团队。初步调查显示,我们的Okta环境中的活动源自可疑的IP地址,后来证实威胁行为者已使用管理权限访问了我们的Okta租户。
1Password写道:“我们看到的活动表明,他们进行了初步侦察,目的是不被发现,以便收集信息以进行更复杂的攻击。”
单独的Okta违规事件是罪魁祸首
该公司解释说,相关1Password开发人员“与Okta支持人员进行了接触,并根据他们的要求,从Chrome开发工具创建了一个HAR文件并将其上传到Okta支持门户”。“这个HAR文件包含浏览器和Okta服务器之间所有流量的记录,包括会话cookie等敏感信息。”
未知攻击者使用相同的Okta会话访问Okta管理门户。1Password详细描述了黑客的行为:
–尝试访问IT团队成员的用户仪表板,但被Okta阻止。
–更新了与我们的生产Google环境相关的现有IDP。
–激活IDP。
–要求管理用户提供报告。
最后的行为引起了员工的注意,并引发了调查。攻击者再次尝试使用1Password的Okta系统但失败了。
有趣的是,1Password详细介绍了员工在攻击前如何与Okta系统进行交互:
HAR文件是在团队成员的macOS笔记本电脑上创建的,并通过酒店提供的WiFi上传,因为该事件发生在公司活动结束时。根据对文件的创建和上传方式、Okta对TLS和HSTS的使用以及之前使用同一浏览器访问Okta的分析,我们认为不存在任何可以将这些数据暴露给其他人的窗口。WiFi网络,或以其他方式受到拦截。
1Password断开MacBook与网络的连接并对其进行检查。数据泄露的主要理论是使用恶意软件或其他妥协方案。使用Malwarebytes免费版本进行的扫描并未发现可能用于攻击Okta系统的恶意程序。
你需要做什么
Okta自己的安全事件公告随后解释了黑客如何攻击HAR文件。最初的妥协并不是通过开发人员的Mac进行的。
1Password在其事件报告中还指出,它已采取其他措施来增强Okta的安全性。
如果您是1Password用户,则无需执行任何操作。您的密码和保管库是安全的。无论数据黑客可能会影响这些公司,您可以定期做的就是更改您的服务密码。至少对于比较敏感的人来说是这样。