De populaire oplossing voor wachtwoordbeheer 1Password zei dat het op 29 september verdachte activiteit op zijn Okta-instantie had gedetecteerd na de inbreuk op het ondersteuningssysteem, maar herhaalde dat er geen gebruikersgegevens waren benaderd.
“We hebben de activiteit onmiddellijk beëindigd, onderzocht en geen compromis gevonden in de gebruikersgegevens of andere gevoelige systemen, zowel op de medewerkers als op de gebruikers gericht”, zei Pedro Canahuati, CTO van 1Password, maandag in een mededeling.
De inbreuk zou hebben plaatsgevonden met behulp van een sessiecookie nadat een lid van het IT-team een HAR-bestand met Okta Support had gedeeld, waarbij de bedreigingsacteur de onderstaande reeks acties uitvoerde:
- Er werd geprobeerd toegang te krijgen tot het gebruikersdashboard van het IT-teamlid, maar dit werd geblokkeerd door Okta
- Een bestaande IDP geüpdatet die is gekoppeld aan onze productie-Google-omgeving
- Activeerde de IDP
- Rapport van administratieve gebruikers aangevraagd
Het bedrijf zei dat het op de hoogte was gebracht van de kwaadaardige activiteit nadat het IT-teamlid een e-mail had ontvangen over het “gevraagde” administratieve gebruikersrapport.
1Password zei verder dat het sindsdien een aantal stappen heeft ondernomen om de veiligheid te vergroten door logins van niet-Okta IDP’s te weigeren, de sessietijden voor beheerders te verkorten, strengere regels voor multi-factor authenticatie (MFA) voor beheerders te hanteren en het aantal superbeheerders te verminderen.
“In samenwerking met Okta-ondersteuning werd vastgesteld dat dit incident gelijkenissen vertoont met een bekende campagne waarbij bedreigingsactoren superadmin-accounts in gevaar brengen, vervolgens proberen de authenticatiestromen te manipuleren en een secundaire identiteitsprovider op te zetten om zich voor te doen als gebruikers binnen de getroffen organisatie”, aldus 1Password. .
Het is de moeite waard om erop te wijzen dat de identiteitsdienstverlener eerder had gewaarschuwd voor social engineering-aanvallen die door bedreigingsactoren waren georkestreerd om verhoogde beheerdersrechten te verkrijgen.
Op het moment van schrijven is het momenteel niet bekend of de aanvallen enig verband hebben met Scattered Spider (ook bekend als 0ktapus, Scatter Swine of UNC3944), dat een staat van dienst heeft in het aanvallen van Okta met behulp van social engineering-aanvallen om verhoogde rechten te verkrijgen.
De ontwikkeling komt dagen nadat Okta onthulde dat niet-geïdentificeerde bedreigingsactoren een gestolen inloggegevens gebruikten om in te breken in het ondersteuningsbeheersysteem en gevoelige HAR-bestanden te stelen die kunnen worden gebruikt om de netwerken van zijn klanten te infiltreren.
Het bedrijf vertelde The Hacker News dat de gebeurtenis ongeveer 1 procent van zijn klantenbestand beïnvloedde. Enkele van de andere klanten die door het incident zijn getroffen, zijn onder meer BeyondTrust en Cloudflare.
“De activiteit die we zagen suggereerde dat ze een eerste verkenning uitvoerden met de bedoeling onopgemerkt te blijven met als doel informatie te verzamelen voor een meer geavanceerde aanval”, aldus 1Password.
