查看原文
其他

流行密码管理器1Password遭黑客攻击

GoUpSec 2023-11-28


本周一,身份软件巨头Okta的客户支持系统被黑客使用被盗凭证入侵,导致Okta客户上传的Cookie和会话令牌等敏感数据泄露,被攻击者利用入侵客户网络。该事件影响了大约1%的Okta客户群,已经披露的知名客户包括BeyondTrust和Cloudflare,以及流行的密码管理方案1Password。


1Password是拥有超过10万家企业用户的流行密码管理平台,本周一1Password披露,在Okta客户支持系统遭到入侵后,它于9月29日在其Okta实例上检测到可疑活动,但1Password重申没有用户和员工数据被访问。


1Password表示:“我们看到的活动表明,他们进行了初步侦察,目的是不被发现,以便收集信息以进行更复杂的攻击。”


1Password首席技术官Pedro Canahuati在周一的通知中表示:“我们立即终止了该攻击活动,进行了调查,发现用户数据或其他敏感系统(无论是面向员工还是面向用户)都没有受到损害。”


Okta经常要求客户上传HTTP存档(HAR)文件以解决客户问题。但是,这些HAR文件包含敏感数据,包括可用于冒充有效Okta客户的身份验证cookie和会话令牌。


据称,入侵Okta客户支持系统的攻击者成功窃取了1Password的IT团队成员与Okta支持人员共享HAR文件后泄露的会话cookie,并执行了以下一组操作:


  • 尝试访问IT团队成员的用户仪表板(但被Okta阻止)

  • 更新了与1Password的Google生产环境相关的现有IDP

  • 激活IDP

  • 要求提供管理员列表报告


1Password表示,在IT团队成员收到请求管理员列表报告的电子邮件后,触发了有关恶意活动的警报。


1Password随后采取了一系列措施来增强安全性,包括:


  • 轮换所有IT员工的凭据并修改了Okta配置

  • 拒绝非OktaIDP登录

  • 减少管理用户的会话时间

  • 更严格的管理员多重身份验证(MFA)规则

  • 减少超级管理员的数量


1Password表示:“Okta方面证实,该事件与已知活动有相似之处,攻击者将入侵超级管理员帐户,然后尝试操纵身份验证流程,添加辅助身份提供商来冒充受影响组织内的用户。”


值得注意的是,1Password事件调查中披露的一些细节引发了人们对1Password员工安全意识和安全实践的担忧,例如:


  • 泄露令牌的HAR文件是1Password员工在公司活动后用酒店WiFi上传的(不过并没有证据显示该数据在WiFi网络泄露或截获)

  • 调查人员使用免费版Malwarebytes扫描涉事员工的Mac笔记本电脑并表示没有发现任何可疑活动或恶意软件。

  • IT团队轮换了所有登录凭证,并强制使用Yubikey硬件密钥MFA登录。(1Password管理员此前未强制使用硬件密钥登录)


而且,1Password安全事件的调查结果仍存在一些令人困惑的地方,例如Okta声称其日志显示,1Password员工的HAR文件在其安全事件发生后才被攻击者访问。


这意味着1Password的员工令牌有可能在此前的安全事件中已经泄露,因为Okta此前曾警告过有攻击者为获取高级管理员权限而精心策划了针对Okta的社会工程攻击,而且过去两年中Okta接连发生多起安全事件:


  • 2022年Okta披露Lapsus$数据勒索组织于同年1月获得对其管理控制台的访问权限后,其部分客户数据被泄露。


  • 此后Okta通过短信发送给客户的一次性密码(OTP)也被威胁组织ScatterSwine(又名0ktapus)利用社会工程攻击窃取,该组织于2022年8月入侵了云通信公司Twilio。


  • 2022年12月,Okta在其GitHub存储库遭到黑客攻击后披露了自己的源代码被盗事件。


  • 今年9月,Okta旗下的身份验证服务提供商Auth0透露,一些较旧的源代码存储库被使用未知方法从其环境中窃取。


目前尚不清楚最新攻击是否与ScatteredSpider(又名0ktapus、ScatterSwine或UNC3944)有任何联系,后者有使用社会工程攻击针对Okta以获得提升权限的记录。


最后,有安全专家指责Okta的事件缓解措施不力。例如,HAR作为结构化文档,其数据脱敏没有任何技术难度,但是Okta推荐的缓解措施居然是要求客户完成清理工作再上传。此外,该事件的检测和响应措施也严重依赖BeyondTrust和Cloudflare这两个受害客户。


参考链接:

https://blog.1password.com/files/okta-incident/okta-incident-report.pdf

https://thehackernews.com/2023/10/1password-detects-suspicious-activity.html


END

相关阅读

SSH仍然是最热门的黑客攻击目标

黑客篡改网店404页面窃取信用卡

微软披露中国黑客窃取其签名密钥内幕

《原神》中国服务器曝漏洞,米哈游称将起诉开发外挂的黑客

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存