Dopo BeyondTrust e Cloudflare, anche 1Password ha confermato l’accesso non autorizzato alla sua istanza Okta. La software house ha tuttavia verificato che i dati degli utenti non sono stati compromessi. L’intrusione è avvenuta tramite cookie di sessione memorizzati nei file HAR usati dal supporto clienti di Okta.
Accesso alle identità dei dipendenti
Il sistema usato da Okta per il supporto clienti prevede l’invio di file HAR (HTML Archive) che consente di replicare le attività di navigazione per determinare la causa di un problema tecnico. In questi file è presente tutto il traffico tra il browser e i server di Okta, inclusi i cookie di sessione.
Un dipendente di 1Password ha inviato un file HAR al supporto clienti, come previsto dalla procedura. L’intrusione è avvenuta il 29 settembre, quando un ignoto cybercriminale ha usato i cookie di sessione per accedere al portale amministrativo di Okta, aggiornato un IDP (IDentity Provider) esistente associato all’ambiente di produzione fornito da Google e richiesto l’elenco degli utenti con diritti di amministratore.
Un membro del team IT di 1Password ha ricevuto la richiesta via email. La software house ha immediatamente bloccato l’attività non autorizzata e, in seguito all’indagine, non ha rilevato nessun furto di dati appartenenti agli utenti. 1Password sottolinea che l’intrusione non è avvenuta tramite il notebook del dipendente (non è stato individuato nessun malware). Okta ha infatti confermato l’accesso al suo sistema di supporto clienti.
1Password ha già implementato le necessarie misure di sicurezza. Sono state cambiate tutte le password e adottato unicamente l’autenticazione multi-fattore con Yubikey. Per quanto riguarda l’istanza Okta sono state chiuse tutte le sessioni, ridotta la durata delle sessioni di amministrazione e bloccato il login da IDP diversi da Okta. Il cybercriminale ha tentato di accedere di nuovo all’account con il Google IDP, ma senza successo in quanto l’IDP era stato eliminato.