Niedawno chyba każdy słyszał o załamaniu systemu wsparcia Okta. Okta jest wykorzystywany w znanym menadżerze haseł 1Password. Ten popularny menedżer haseł z milionami użytkowników poinformował w ostatnim czasie, że cyberprzestępcy uzyskali dostęp do wewnętrznego konta zarządzania Okta.
„29 września odkryliśmy podejrzaną aktywność na naszej instancji Okta, której używamy do zarządzania naszymi aplikacjami pracowniczymi. Natychmiast zakończyliśmy działanie, zbadaliśmy je i nie znaleźliśmy żadnych włamań jeśli chodzi o użytkownika ani innych wrażliwych systemach, ani zorientowanych na pracownika, ani na użytkownika.”
Firma Okta specjalizuje się w zarządzaniu tożsamością i dostępem (IAM) dla dużych firm. W ramach procesu wsparcia Okta, klienci biznesowi muszą utworzyć archiwum HTTP, zwane również plikiem HAR, które zawiera zapis całego ruchu między przeglądarką a serwerami Okta. Obejmuje to poufne informacje, takie jak tokeny sesji i pliki cookie uwierzytelniające. Według 1Password, członek zespołu IT stworzył plik HAR i przesłał go do portalu wsparcia Okta. Po tym, 29 września, ktoś z tą samą sesją uwierzytelniania oktawy z pliku HAR uzyskał dostęp do portalu zarządzania Okta 1Password. Raport bezpieczeństwa wewnętrznego z 1Password stwierdza:
„Potwierdzono, że wygenerowany plik HAR zawierał informacje niezbędne dla atakującego do przejęcia sesji użytkownika. Nie mamy dowodów na to, że atakujący uzyskał dostęp do systemów poza Okta. Działania, które widzieliśmy, wskazują, że przeprowadzili wstępną eksplorację z zamiarem pozostania niewykrytym w celu zebrania informacji na bardziej wymagający atak.”
W całej sytuacji należy wyjaśnić jedną sprawdę. Okta jest narzędziem zorientowanym na biznes, które wykorzystuje systemy całkowicie oddzielone od danych użytkownika. Te ostatnie są w pełni zaszyfrowane, do odszyfrowania wymagany jest klucz główny i hasło użytkownika. Niemniej jednak ważne jest, aby poważnie potraktować nawet najmniejsze naruszenia: często są one wykorzystywane do tworzenia bazy, którą można następnie wykorzystać do dalszych ataków.
1Password usunęło teraz sesje i wymieniło poświadczenia dla własnych użytkowników administracyjnych Okta. Firma wprowadza również kilka zmian w swojej konfiguracji Okta, w tym odmowę logowania się od IDP, które nie należą do Okta, skrócenie czasu sesji dla użytkowników administracyjnych lub Użytkownicy, surowsze zasady dla MFA dla użytkowników administracyjnych i zmniejszenie liczby superadministratorów.
Wychodzi na to, że w tej chwili możemy czuć się bezpieczni.
macpretorians
Źródło: appgefahren
