1contraseña
1Password, un administrador de contraseñas utilizado por millones de personas y más de 100.000 empresas, dijo que detectó actividad sospechosa en una cuenta de empresa proporcionada por Okta, el servicio de identidad y autenticación que reveló una infracción el viernes.
«El 29 de septiembre, detectamos actividad sospechosa en nuestra instancia de Okta que utilizamos para administrar nuestras aplicaciones orientadas a los empleados», escribió el CTO de 1Password, Pedro Canahuati, en un correo electrónico. «Terminamos inmediatamente la actividad, investigamos y no encontramos ningún compromiso de los datos de los usuarios u otros sistemas confidenciales, ni de los empleados ni de los usuarios».
Desde entonces, dijo Canahuati, su empresa ha estado trabajando con Okta para determinar los medios que utilizó el atacante desconocido para acceder a la cuenta. El viernes, los investigadores confirmaron que se debió a una infracción que Okta informó que afectó a su sistema de gestión de atención al cliente.
Okta dijo entonces que un actor de amenazas obtuvo acceso no autorizado a su sistema de gestión de casos de atención al cliente y, desde allí, vio archivos cargados por algunos clientes de Okta. Los archivos que el actor de amenazas obtuvo en el compromiso de Okta incluían archivos HTTP, o HAR, que el personal de soporte de Okta utiliza para replicar la actividad del navegador del cliente durante las sesiones de solución de problemas. Entre la información confidencial que almacenan se encuentran las cookies de autenticación y los tokens de sesión, que los actores malintencionados pueden utilizar para hacerse pasar por usuarios válidos.
La firma de seguridad BeyondTrust dijo que descubrió la intrusión después de que un atacante utilizó cookies de autenticación válidas en un intento de acceder a su cuenta de Okta. El atacante pudo realizar «algunas acciones limitadas», pero finalmente, los controles de la política de acceso de BeyondTrust detuvieron la actividad y bloquearon todo acceso a la cuenta. 1Password ahora se convierte en el segundo cliente conocido de Okta en ser blanco de un ataque de seguimiento.
La declaración del lunes de 1Password no proporcionó más detalles sobre el incidente y los representantes no respondieron a las preguntas. Un informe fechado el 18 de octubre y compartido en un espacio de trabajo interno de 1Password Notion decía que el actor de amenazas obtuvo un archivo HAR que un empleado de TI de la empresa había creado cuando recientemente contactó con el soporte de Okta. El archivo contenía un registro de todo el tráfico entre el navegador del empleado de 1Password y los servidores de Okta, incluidas las cookies de sesión.
Los representantes de 1Password no respondieron a una solicitud para confirmar la autenticidad del documento, que fue proporcionada tanto en texto como en capturas de pantalla por un empleado anónimo de 1Password.
Según el informe, el atacante también accedió al inquilino Okta de 1Password. Los clientes de Okta utilizan estos inquilinos para administrar el acceso al sistema y los privilegios del sistema asignados a varios empleados, socios o clientes. El actor de amenazas también logró ver las asignaciones de grupo en el inquilino Okta de 1Password y realizar otras acciones, ninguna de las cuales resultó en entradas en los registros de eventos. Mientras estaba conectado, el actor de amenazas actualizó lo que se conoce como IDP (proveedor de identidad), utilizado para autenticar un entorno de producción proporcionado por Google.
El equipo de TI de 1Password se enteró del acceso el 29 de septiembre cuando los miembros del equipo recibieron un correo electrónico inesperado sugiriendo que uno de ellos había solicitado una lista de usuarios de 1Password con derechos de administrador para el inquilino de Okta. Los miembros del equipo reconocieron que ningún empleado autorizado había realizado la solicitud y alertaron al equipo de respuesta de seguridad de la empresa. Desde que salió a la luz el incidente, 1Password también cambió la configuración de su inquilino de Okta, incluida la denegación de inicios de sesión de proveedores de identidad que no sean de Okta.
Un resumen de las acciones que tomó el atacante son:
- Intentó acceder al panel de Okta del empleado de TI, pero fue bloqueado
- Se actualizó un IDP existente vinculado al entorno de producción de Google de 1Password.
- Activó el IDP
- Solicitó un informe de usuarios administrativos.
El 2 de octubre, tres días después del evento, los atacantes volvieron a iniciar sesión en el inquilino Okta de 1Password e intentaron utilizar el IDP de Google que habían habilitado previamente. El actor no tuvo éxito porque el desplazado interno había sido destituido. Tanto el acceso anterior como el posterior provinieron de un servidor proporcionado por el servidor de nube LeaseWeb en los EE. UU. y utilizaron una versión de Chrome en una máquina con Windows.
La violación de Okta es uno de una serie de ataques en los últimos años a grandes empresas que brindan software o servicios a un gran número de clientes. Después de acceder al proveedor, los atacantes utilizan su posición para realizar ataques posteriores dirigidos a los clientes. Es probable que se identifiquen más clientes de Okta en las próximas semanas.