Der weit verbreitete Passwort-Management-Dienst 1Password, der von über 100.000 Unternehmen genutzt wird, hat einen Sicherheitsvorfall gemeldet, nachdem Hacker Zugriff auf dessen Okta ID-Management-Instanz erlangten.
Am 29. September bemerkte das Unternehmen verdächtige Aktivitäten in seiner Okta-Instanz. Obwohl sofortige Maßnahmen ergriffen wurden, bestätigte 1Password CTO Pedro Canahuati, dass der Vorfall mit dem kürzlich gemeldeten Einbruch in Okta’s Support-System in Verbindung steht. Dennoch betonte er, dass keine Nutzerdaten von 1Password betroffen waren.
Okta, ein Anbieter von Identitätsmanagement, hatte zuvor einen Sicherheitsvorfall gemeldet, bei dem Angreifer das Support-Case-Management-System durch gestohlene Anmeldedaten infiltrierten. Diese Daten enthielten sensitive Informationen, einschließlich Authentifizierungscookies und Session-Tokens, die eine Imitation eines gültigen Okta-Kunden ermöglichen könnten.
1Password berichtete, dass die Angreifer durch den Einsatz eines gestohlenen Session-Cookies eines IT-Mitarbeiters in deren Okta-Instanz eindrangen. Durch diesen Zugriff versuchten die Hacker unter anderem, auf das Dashboard eines IT-Teammitglieds zuzugreifen und die IDP (Okta Identity Provider) zu aktualisieren.
Das Unternehmen wurde auf den Einbruch aufmerksam, als ein IT-Teammitglied eine unerwartete E-Mail über einen Okta-Bericht erhielt, der nicht offiziell von Mitarbeitern angefordert wurde.
Trotz der Sicherheitsbedenken hat 1Password seitdem alle Anmeldedaten des betroffenen IT-Mitarbeiters geändert und ihre Okta-Konfiguration angepasst. Dies umfasst unter anderem strengere Anmelderegeln und eine Reduzierung der Anzahl der Superadministratoren.
Es gibt allerdings widersprüchliche Angaben darüber, wie der Vorfall bei 1Password genau ablief, da Okta behauptet, dass ihre Protokolle nicht zeigen, dass auf die Daten des IT-Mitarbeiters zugegriffen wurde, bevor 1Password den Sicherheitsvorfall bemerkte.