.
1Senha
O 1Password, um gerenciador de senhas usado por milhões de pessoas e mais de 100 mil empresas, disse ter detectado atividades suspeitas em uma conta corporativa fornecida pela Okta, o serviço de identidade e autenticação que revelou uma violação na sexta-feira.
“Em 29 de setembro, detectamos atividades suspeitas em nossa instância Okta que usamos para gerenciar nossos aplicativos voltados para funcionários”, escreveu o CTO da 1Password, Pedro Canahuati, por e-mail. “Encerrámos imediatamente a atividade, investigamos e não encontramos nenhum comprometimento dos dados do usuário ou de outros sistemas confidenciais, tanto voltados para funcionários quanto para usuários.”
Desde então, disse Canahuati, sua empresa tem trabalhado com a Okta para determinar os meios que o invasor desconhecido usou para acessar a conta. Na sexta-feira, os investigadores confirmaram que isso resultou de uma violação relatada pela Okta em seu sistema de gerenciamento de suporte ao cliente.
Okta disse então que um agente de ameaça obteve acesso não autorizado ao seu sistema de gerenciamento de casos de suporte ao cliente e, a partir daí, visualizou arquivos carregados por alguns clientes da Okta. Os arquivos que o agente da ameaça obteve no comprometimento do Okta incluíam arquivos HTTP, ou HAR, que a equipe de suporte do Okta usa para replicar a atividade do navegador do cliente durante sessões de solução de problemas. Entre as informações confidenciais que armazenam estão cookies de autenticação e tokens de sessão, que atores mal-intencionados podem usar para se passar por usuários válidos.
A empresa de segurança BeyondTrust disse que descobriu a intrusão depois que um invasor usou cookies de autenticação válidos na tentativa de acessar sua conta Okta. O invasor poderia realizar “algumas ações confinadas”, mas, em última análise, os controles da política de acesso da BeyondTrust interromperam a atividade e bloquearam todo o acesso à conta. 1Password agora se torna o segundo cliente conhecido da Okta a ser alvo de um ataque subsequente.
A declaração de segunda-feira do 1Password não forneceu mais detalhes sobre o incidente e os representantes não responderam às perguntas. Um relatório datado de 18 de outubro e compartilhado em um espaço de trabalho interno do 1Password Notion disse que o agente da ameaça obteve um arquivo HAR que um funcionário de TI da empresa criou ao interagir recentemente com o suporte da Okta. O arquivo continha um registro de todo o tráfego entre o navegador do funcionário do 1Password e os servidores Okta, incluindo cookies de sessão.
Os representantes do 1Password não responderam a uma solicitação para confirmar a autenticidade do documento, que foi fornecida em texto e capturas de tela por um funcionário anônimo do 1Password.
De acordo com o relatório, o invasor também acessou o locatário Okta do 1Password. Os clientes da Okta usam esses locatários para gerenciar o acesso ao sistema e os privilégios do sistema atribuídos a vários funcionários, parceiros ou clientes. O agente da ameaça também conseguiu visualizar atribuições de grupo no locatário Okta do 1Password e realizar outras ações, nenhuma das quais resultou em entradas nos logs de eventos. Enquanto estava conectado, o agente da ameaça atualizou o que é conhecido como IDP (provedor de identidade), usado para autenticar em um ambiente de produção fornecido pelo Google.
A equipe de TI do 1Password soube do acesso em 29 de setembro, quando os membros da equipe receberam um e-mail inesperado sugerindo que um deles havia solicitado uma lista de usuários do 1Password com direitos de administrador para o locatário do Okta. Os membros da equipe reconheceram que nenhum funcionário autorizado havia feito a solicitação e alertaram a equipe de resposta de segurança da empresa. Desde que o incidente veio à tona, o 1Password também alterou as configurações de seu locatário Okta, incluindo a negação de logins de provedores de identidade que não sejam da Okta.
Um resumo das ações que o invasor realizou é:
- Tentativa de acessar o painel Okta do funcionário de TI, mas foi bloqueado
- Atualizado um IDP existente vinculado ao ambiente de produção do Google do 1Password
- Ativou o IDP
- Solicitou um relatório de usuários administrativos
Em 2 de outubro, três dias após o evento, os invasores fizeram login novamente no locatário Okta do 1Password e tentaram usar o IDP do Google que haviam habilitado anteriormente. O ator não teve sucesso porque o PDI foi removido. Tanto o acesso anterior quanto o subsequente vieram de um servidor fornecido pelo host em nuvem LeaseWeb nos EUA e usaram uma versão do Chrome em uma máquina Windows.
A violação do Okta faz parte de uma série de ataques ocorridos nos últimos anos contra grandes empresas que fornecem software ou serviços a um grande número de clientes. Depois de entrar no provedor, os invasores usam sua posição em ataques subsequentes direcionados aos clientes. É provável que mais clientes da Okta sejam identificados nas próximas semanas.
.
