2min

Tags in dit artikel

, , ,

1Password heeft verdacht gedrag in het intern Okta-account gesignaleerd. Het incident houdt verband met de recente Okta-hack.

Volgens de verklaring van 1Password heeft de wachtwoordmanager onlangs een security-incident gehad. Hierbij kregen hackers eind september toegang tot de Okta ID management-server. Volgens 1Password is de aanval afgeslagen en hebben de aanvallers geen toegang gekregen tot de klantendata. De gegevens zijn niet gestolen.

Gevolg van Okta-lek

De aanval lijkt hiermee het gevolg te zijn van het onlangs bekend gemaakte datalek waarmee Okta is geconfronteerd. Dit datalek werd veroorzaakt door een hackaanval op het klantensysteem van de identiteits- en toegangsspecialist.

De hackers hadden het vooral voorzien op de HAR-bestanden die zich in het ticketsysteem van de klantenservice bevonden. Deze bestanden worden gebruikt voor het diagnosticeren van problemen tijden webbrowsing-sessies en bevatten vaak cookies en session tokens.

De HAR-data kan worden misbruikt voor het spoofen van een bestaande account zonder dat bijvoorbeeld het gebruik van wachtwoorden of two-factor authenticatie.

Lees meer: Okta meldt datadiefstal uit ticketsysteem van klantenservice

Aanvalsverloop op 1Password

In het geval van 1Password gebruikten de hackers een gestolen session cookie van een IT-medewerker. De session cookie kwam uit een HAR-bestand dat een supportmedewerker van 1Password had aangemaakt.

De hackers probeerden vervolgens op drie manieren in de systemen van 1Password binnen te dringen. Zij probeerden in eerste instantie met de verkregen session cookie toegang te krijgen tot het gebruikersdashboard van de IT-medewerker, maar deze poging werd door Okta afgeslagen.

In tweede instantie maakten zij een update van een bestaand Okta Identity Provider (IDP) die met de Google productie-omgeving van 1Password is verbonden en activeerden de IDP. Als derde, verzochten zij een rapport over alle administratieve eindgebruikers om op die manier toegang te krijgen.

Maatregelen

Naar aanleiding van de aanvalspoging heeft de wachtwoordmanager alle inloggegevens van zijn IT-medewerkers vernieuwd, inclusief het ontkennen van logins van niet-Okta IDP’s. Ook zijn de sessietijden voor administratieve gebruikers beperkt, moet MFA strenger worden toegepast en is het aantal supergebruikers teruggeschroefd.