100.000’den fazla işletme tarafından kullanılan popüler bir şifre yönetimi platformu olan 1Password, bilgisayar korsanlarının Okta ID yönetim kiracısına erişim sağlamasının ardından bir güvenlik ihlali yaşadı.
1Password CTO’su Pedro Canahuati’den gelen çok kısa bir güvenlik olayı bildirimi, “Okta örneğimizde Destek Sistemi olayıyla ilgili şüpheli etkinlik tespit ettik. Kapsamlı bir incelemenin ardından, hiçbir 1Password kullanıcı verisine erişilmediği sonucuna vardık” diyor.
“29 Eylül’de, çalışanların karşılaştığı uygulamalarımızı yönetmek için kullandığımız Okta örneğimizde şüpheli etkinlik tespit ettik.”
“Etkinliği derhal sonlandırdık, araştırdık ve çalışanların veya kullanıcıların karşılaştığı kullanıcı verilerinden veya diğer hassas sistemlerden herhangi bir ödün verilmediğini tespit ettik.”
Cuma günü Okta, tehdit aktörlerinin çalıntı kimlik bilgilerini kullanarak destek vaka yönetimi sistemini ihlal ettiğini açıkladı.
Bu destek vakalarının bir parçası olarak Okta, müşteri sorunlarını gidermek için rutin olarak müşterilerden HTTP Arşivi (HAR) dosyalarını yüklemelerini ister. Ancak bu HAR dosyaları, geçerli bir Okta müşterisinin kimliğine bürünmek için kullanılabilecek kimlik doğrulama çerezleri ve oturum belirteçleri dahil olmak üzere hassas veriler içerir.
Okta, ihlali ilk olarak Okta ile adli tıp verilerini paylaşan ve destek kuruluşlarının tehlikeye atıldığını gösteren BeyondTrust’tan öğrendi. Ancak Okta’nın ihlali doğrulaması iki haftadan fazla sürdü.
Cloudflare ayrıca Okta’nın olayı açıklamasından iki gün önce, 18 Ekim’de sistemlerinde kötü amaçlı etkinlik tespit etti. BeyondTrust gibi, tehdit aktörleri de Cloudflare’in Okta örneğine geçmek ve Yönetici ayrıcalıkları kazanmak için Okta’nın destek sisteminden çalınan bir kimlik doğrulama jetonunu kullandı.
1Okta ile bağlantılı şifre ihlali
Pazartesi öğleden sonra yayınlanan bir raporda 1Password, tehdit aktörlerinin bir BT çalışanı için çalıntı bir oturum çerezi kullanarak Okta kiracısını ihlal ettiğini söylüyor.
“Okta desteğiyle de doğrulanarak, bu olayın, tehdit aktörlerinin süper yönetici hesaplarını ele geçirdiği, ardından kimlik doğrulama akışlarını manipüle etmeye çalıştığı ve etkilenen kuruluş içindeki kullanıcıların kimliğine bürünmek için ikincil bir kimlik sağlayıcı kurduğu bilinen bir kampanyayla benzerlikler paylaştığı tespit edildi.” 1Şifre raporu.
Rapora göre 1Password BT ekibinin bir üyesi Okta ile bir destek vakası açtı ve Chrome Geliştirme Araçları’ndan oluşturulan bir HAR dosyası sağladı.
Bu HAR dosyası, Okta yönetim portalına yetkisiz erişim sağlamak için kullanılan Okta kimlik doğrulama oturumunun aynısını içerir.
Tehdit aktörü bu erişimi kullanarak aşağıdaki eylemleri gerçekleştirmeye çalıştı:
- BT ekibi üyesinin kullanıcı kontrol paneline erişmeye çalıştı ancak Okta tarafından engellendi.
- Üretim Google ortamımıza bağlı mevcut bir IDP (Okta Kimlik Sağlayıcı) güncellendi.
- IDP’yi etkinleştirdi.
- Yönetici kullanıcılardan rapor istendi
1Password’ün BT ekibi, bu ihlali, çalışanlar tarafından resmi olarak talep edilmeyen, talep edilen idari raporla ilgili şüpheli bir e-posta aldıktan sonra 29 Eylül’de öğrendi.
1Password raporda şöyle açıkladı: “29 Eylül 2023’te BT ekibinin bir üyesi, yöneticilerin listesini içeren bir Okta raporu başlattıklarını öne süren beklenmedik bir e-posta bildirimi aldı.”
Canahuati, “O zamandan beri, uzlaşmanın ilk vektörünü belirlemek için Okta ile çalışıyoruz. 20 Ekim Cuma günü geç saatlerde, bunun Okta’nın Destek Sistemi ihlalinin bir sonucu olduğunu doğruladık” dedi.
Ancak Okta, günlüklerinin BT çalışanının HAR dosyasına 1Password’ün güvenlik olayı sonrasına kadar erişildiğini göstermediğini iddia ettiğinden 1Password’ün nasıl ihlal edildiğine dair bazı kafa karışıklıkları var gibi görünüyor.
1Password, o zamandan beri tüm BT çalışanının kimlik bilgilerini değiştirdiklerini ve Okta olmayan IDP’lerden gelen girişlerin reddedilmesi, yönetici kullanıcılar için oturum sürelerinin kısaltılması, yönetici kullanıcılar için MFA’da daha sıkı kurallar ve süper yönetici sayısının azaltılması dahil olmak üzere Okta yapılandırmalarını değiştirdiklerini belirtiyor. .
BleepingComputer, olayla ilgili daha fazla soru sormak için 1Password ile iletişime geçti ancak hemen bir yanıt alınamadı.