Sicurezza Informatica
1Password rileva attività sospetta: dati degli utenti salvi
1Password rileva attività sospetta nella sua istanza di Okta, ma conferma che nessun dato dell’utente è stato compromesso.
1Password, una popolare soluzione di gestione delle password, ha rilevato attività sospette nella sua istanza di Okta il 29 settembre, a seguito di una violazione del sistema di supporto. Tuttavia, ha ribadito che nessun dato dell’utente è stato accesso.
Dettagli dell’attività sospetta
Pedro Canahuati, CTO di 1Password, ha dichiarato in una comunicazione del lunedì che, nonostante l’attività sospetta, non è stata riscontrata alcuna compromissione dei dati degli utenti o di altri sistemi sensibili, sia rivolti ai dipendenti che agli utenti. La violazione sembra essere avvenuta utilizzando un cookie di sessione dopo che un membro del team IT ha condiviso un file HAR con il supporto di Okta. L’attore minaccioso ha tentato di accedere alla dashboard dell’utente del team IT, ma è stato bloccato da Okta. Successivamente, ha aggiornato un IDP esistente legato all’ambiente Google di produzione, ha attivato l’IDP e ha richiesto un rapporto sugli utenti amministrativi. La società è stata allertata sull’attività maliziosa dopo che il membro del team IT ha ricevuto un’email riguardo al rapporto “richiesto” sull’utente amministrativo.
Misure di sicurezza adottate
1Password ha dichiarato di aver adottato una serie di misure per rafforzare la sicurezza, tra cui la negazione degli accessi da IDP non-Okta, la riduzione dei tempi di sessione per gli utenti amministrativi, regole di autenticazione multi-fattore (MFA) più rigorose per gli amministratori e la diminuzione del numero di super amministratori. In collaborazione con il supporto di Okta, è stato stabilito che questo incidente presenta somiglianze con una campagna nota in cui gli attori delle minacce compromettono gli account dei super amministratori, tentando poi di manipolare i flussi di autenticazione e stabilire un provider di identità secondario per impersonare gli utenti all’interno dell’organizzazione interessata.
Ulteriori dettagli
Vale la pena sottolineare che il provider di servizi di identità aveva precedentemente avvertito degli attacchi di ingegneria sociale orchestrati da attori minacciosi per ottenere permessi di amministratore elevati. Al momento della scrittura, non è ancora noto se gli attacchi abbiano qualche collegamento con Scattered Spider, che ha un precedente di attacchi a Okta utilizzando attacchi di ingegneria sociale per ottenere privilegi elevati.