Son zamanlarda 1Password, 29 Eylül’de Okta örneğinde şüpheli etkinlik tespit etti ancak hiçbir kullanıcı verisi veya hassas sistem tehlikeye atılmadı.
1Password, bireyler ve işletmelerin güvendiği, popüler bir şifre yöneticisi ve güvenlik aracı olarak yaygın şekilde kullanılmaktadır.
Kullanıcılar aşağıdaki nedenlerden dolayı 1Password’ü tercih ediyor:
- Sağlam güvenlik özellikleri
- Kullanıcı dostu arayüz
- Platformlar arası uyumluluk
Bu temel öğeler parolaların, kredi kartı bilgilerinin ve diğer hassas verilerin saklanmasını ve yönetilmesini kolaylaştırır.
Bir BT ekibi üyesi, 29 Eylül 2023’te Okta’daki yetkisiz bir yönetici raporuyla ilgili olağandışı bir e-posta aldı. Bu durum onların Okta ortamlarına yönetim erişimi olan bir tehdit aktörünü keşfetmelerine yol açtı.
Teknik Analiz
Bir BT ekibi üyesi, Okta desteğine bir HAR dosyası sağlayarak oturum çerezleri de dahil olmak üzere tarayıcı trafiğini yakaladı.
Aynı gün, kimliği bilinmeyen bir kişi, Okta yönetici portalına erişmek ve yetkisiz faaliyetler gerçekleştirmek için aynı oturumu kullandı.
Aşağıda bu yasa dışı faaliyetlerden bahsettik:
- BT ekibi üyesinin kullanıcı kontrol paneline erişmeye çalışıldı ancak Okta tarafından engellendi.
- 1Password üretim Google ortamına bağlı mevcut bir IDP güncellendi.
- IDP’yi etkinleştirdi.
- Yönetici kullanıcılardan rapor istendi.
BT ekibini son eylem konusunda uyaran bir e-posta. Bilinmeyen aktör başka yetkisiz eylemler de gerçekleştirdi ve Okta, günlük girişleri sağlamak için çalışıyor.
Ancak oyuncunun oturuma nasıl erişim sağladığı belli değil. Yine de HAR dosyası böyle bir saldırı için gerekli olan bilgileri içeriyordu ve yakalanan oturum çerezleri kullanılarak olayın yeniden oluşturulmasıyla doğrulandı.
Okta’nın destek mühendisi olaydan önce HAR dosyasına erişmemişti. Aktörün diğer sistemlere eriştiğine dair hiçbir belirti bulunamadı.
Dosya güvenli bir şekilde oluşturulup yüklendi; bu da Wi-Fi ağının ele geçirilmesi olasılığını ortadan kaldırıyor. Ekip üyesinin şu anda çevrimdışı olan dizüstü bilgisayarında herhangi bir kötü amaçlı yazılım bulgusu görülmedi.
Kötü amaçlı yazılım veya cihazın ele geçirilmesi, oturum verilerinin açığa çıkmasıyla ilgili önde gelen teoridir, ancak ekip üyesinin hesaplarıyla bağlantılı başka herhangi bir olağandışı etkinlik belirlenmemiştir.
1Password tarafından gerçekleştirilen eylemler
Aşağıda 1Password’ün gerçekleştirdiği tüm eylemlerden bahsettik:
- BT ekibi üyesinin kimlik bilgileri değiştirildi.
- Ekip üyelerinin Okta hesaplarına daha sıkı güvenlik önlemleri uygulandı.
- Güvenliği artırmak için Okta yapılandırması güncellendi.
- Datadog, algılamayı hızlandırmak için ek uyarılar aldı.
- Okta yönetici kullanıcılarının oturumları temizlendi ve kimlik bilgileri değiştirildi.
1Password, aktörün Okta dışındaki sistemlere eriştiğine dair hiçbir kanıt bulamadı. Aktör muhtemelen gelecekteki saldırılar için gizlice bilgi toplamak amacıyla ilk keşif gerçekleştirdi.
“Bundan etkilenen tüm müşterilere bilgi verildi. Okta müşterisiyseniz ve başka bir mesaj veya yöntemle sizinle iletişime geçilmediyse Okta ortamınız veya destek biletleriniz bundan etkilenmez.” Octa Bir olay raporu aracılığıyla bilgilendirildi.
Ancak bunun yanı sıra, acil eylemler riskleri azalttı ancak 1Password güvenliği daha da artırmayı planlıyor.
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. %100 güvenlik sağlamak için Ücretsiz Deneme sürümünü deneyin.