MKD-CIRT National Centre for Computer Incident Response
Популарното решение за управување со лозинки 1Password рече дека открило сомнителна активност на својот примерок на Okta на 29 септември по прекршувањето на системот за поддршка, но повтори дека не е пристапен до никакви кориснички податоци.
„Веднаш ја прекинавме активноста, истраживме и не најдовме компромиси за корисничките податоци или други чувствителни системи, било свртени кон вработените или лицата кои се соочуваат со корисници“,
кажа Педро Канахуати, CTO на 1Password, во понеделникот.
Се вели дека прекршувањето се случило со користење колаче за сесија откако член на ИТ тимот споделил датотека HAR со Окта Поддршка, при што актерот за закани го извршил долунаведениот сет на дејства.
– Се обиде да пристапи до корисничката табла на членот на ИТ тимот, но беше блокиран од Окта .
– Ажуриравме постоечки ВРЛ поврзан со нашата продукциска околина на Google.
– Го активираше ВРЛ.
– Побара извештај од административни корисници.
Компанијата соопшти дека била предупредена за злонамерната активност откако членот на ИТ тимот добил е-пошта за „бараниот“ административен кориснички извештај.
1Password понатаму кажа дека оттогаш презел голем број чекори за зајакнување на безбедноста со одбивање на најавувања од ВРЛ кои не се на Okta, намалување на времето на сесии за административни корисници, построги правила за повеќефакторска автентикација (MFA) за администраторите и намалување на бројот на супер администратори.
„Потврдувајќи ја поддршката на Okta, беше утврдено дека овој инцидент споделува сличности со позната кампања каде што актерите за закана ќе ги компромитираат сметките на супер администраторите, потоа ќе се обидат да манипулираат со тековите на автентикација и да воспостават секундарен давател на идентитет за да ги имитираат корисниците во засегнатата организација“, рече 1Password.
Вреди да се истакне дека давателот на услуги за идентитет претходно предупреди на напади од социјален инженеринг оркестрирани од актери за закана за да добијат зголемени администраторски дозволи.
Во моментов не е познато дали нападите имаат некаква врска со Scattered Spider (познато како 0ktapus, Scatter Swine или UNC3944), кој има историја на таргетирање на Okta користејќи напади од социјален инженеринг за да добие зголемени привилегии.
Развојот доаѓа неколку дена откако Окта откри дека неидентификувани актери за закана користеле украдени акредитиви за да упаднат во неговниот систем за управување со случаи за поддршка и да украдат чувствителни датотеки HAR што можат да се користат за инфилтрирање во мрежите на нејзините клиенти.
Компанијата изјави за The Hacker News дека настанот влијаел на околу 1 процент од нејзината база на клиенти. Некои од другите клиенти кои беа погодени од инцидентот се BeyondTrust и Cloudflare.
„Активноста што ја видовме сугерираше дека тие извршиле првично извидување со намера да останат неоткриени со цел да се соберат информации за пософистициран напад“, рече 1Password.
Извор: thehackernews