Будут ли последствия взлома важного клиента Okta?
Популярный менеджер паролей1Passwordобнаружил подозрительную активность в своем экземпляреOkta, связаннуюс инцидентом в системе поддержкиклиентов. Пословампредставителя 1Password, данные пользователей не были затронуты. 1Password использует услуги Okta, крупнейшего поставщика инструментов безопасности, для управления приложениями, предназначенными для сотрудников.
В 1Password заявили, что компания прекратила вредоносную активность, провела расследование и убедилась, что «данные пользователей или другие чувствительные системы, включая системы для сотрудников и для пользователей, не были скомпрометированы».
Причиной компрометации стало нарушение в системе поддержки Okta. В своем публичном заявлении Okta заявила, что хакеры украли учетные данные для доступа к системам управления обращениями в службу поддержки и могли просматривать файлы, загруженные определенными клиентами в рамках недавних обращений в службу поддержки.
Отметим, что в ходе атаки злоумышленники обращались в службы техподдержки клиентов Okta, выдавая себя за реальных сотрудников компании.Сотрудник из ИТ-отдела1Password по просьбе службы поддержки Okta предоставил хакеру HAR-файл, сделанный через Chrome Dev Tools, и загрузил его на портал Okta. HAR-файл включал в себя всю активность между браузером и серверами Okta, в том числе и чувствительные данные, такие как сессионные куки.
29 сентября киберпреступник использовал тот же сеанс Okta, который был зафиксирован в HAR-файле, чтобы попасть в админ-портал Okta и попробовал совершить следующие действия:
- Попытался войти в панель управления сотрудника из ИТ-отдела. Попытка была заблокирована системой Okta;
- Обновил существующую службуIDP, связанную с рабочим аккаунтом 1Password в Google;
- Активировал IDP;
- Запросил список администраторов. После этого действия сотрудник ИТ-отдела получил письмо с предупреждением, что вызвало немедленное вмешательство.
Отметим, что это не первый крупный киберинцидент в системах Okta. В сентябрехакеры получили привилегии суперадминистраторав системах компании Okta с помощью атаки социальной инженерии на специалистов поддержки. Кроме того, в декабре 2022 года киберпреступникивзломали репозитории OctaвGitHubи украли исходный код.