Der beliebte Passwort-Manager 1Password entdeckte am 29. September verdächtige Aktivitäten in ihrer Okta-Instanz. Es wurden jedoch keine Benutzerdaten oder kritischen Systeme beeinträchtigt.
1Password wird aufgrund seiner robusten Sicherheitsfunktionen, benutzerfreundlichen Oberfläche und plattformübergreifenden Kompatibilität geschätzt. Es ermöglicht Nutzern, Passwörter, Kreditkarteninformationen und andere sensible Daten sicher zu speichern und zu verwalten.
Die Vorfälle begannen, als ein IT-Teammitglied am 29. September 2023 eine ungewöhnliche E-Mail über einen unbefugten Admin-Bericht in Okta erhielt. Dies führte zur Entdeckung eines Angreifers mit administrativem Zugriff auf die Okta-Umgebung von 1Password.
Technisch betrachtet wurde ein HAR-Datei, die den Browserverkehr inklusive Session-Cookies erfasst, an den Okta-Support weitergegeben. Noch am selben Tag nutzte ein unbekannter Akteur diese Session, um unerlaubten Zugriff auf das Okta-Admin-Portal zu erhalten und verschiedene Aktivitäten auszuführen. Hierzu gehörten der Versuch, auf das Dashboard eines IT-Teammitglieds zuzugreifen, und die Aktualisierung und Aktivierung einer IDP, die mit der Google-Umgebung von 1Password verbunden ist.
Es bleibt unklar, wie der Angreifer Zugriff auf die Session erhielt, obwohl die HAR-Datei die für einen solchen Angriff benötigten Informationen enthielt. Es gab keine Hinweise darauf, dass andere Systeme betroffen waren.
Als Reaktion darauf hat 1Password verschiedene Maßnahmen ergriffen:
- Änderung der Zugangsdaten des IT-Teammitglieds
- Verschärfung der Sicherheitsmaßnahmen für Okta-Konten des Teams
- Sicherheitsaktualisierung der Okta-Konfiguration
- Erweiterung der Alarme bei Datadog zur schnelleren Erkennung
- Löschen der Sessions von Okta-Administratoren und Änderung ihrer Zugangsdaten
Es gibt bisher keine Hinweise darauf, dass der Angreifer Systeme außerhalb von Okta zugegriffen hat. 1Password vermutet, dass der Akteur Erkundungen durchführte, um diskret Informationen für zukünftige Angriffe zu sammeln.
Abschließend stellte Okta fest, dass alle betroffenen Kunden informiert wurden. 1Password arbeitet weiterhin daran, die Sicherheit zu verbessern.