1Password phát hiện "hoạt động đáng ngờ" trong tài khoản Okta nội bộ

 (arstechnica.com)
1 điểm bởi GN⁺ 2023-10-25 | 1 bình luận | Chia sẻ qua WhatsApp
  • 1Password, trình quản lý mật khẩu được sử dụng rộng rãi, đã phát hiện hoạt động đáng ngờ trong chính tài khoản Okta của mình.
  • Hoạt động đáng ngờ này được phát hiện vào ngày 29 tháng 9 và đã bị chặn ngay lập tức.
  • CTO của 1Password, Pedro Canahuati, xác nhận rằng dữ liệu người dùng hoặc các hệ thống nhạy cảm không bị xâm phạm.
  • Công ty đang phối hợp với Okta để xác định cách một kẻ tấn công chưa rõ danh tính đã truy cập được vào tài khoản.
  • Vụ xâm nhập này được xác nhận là hệ quả của vụ xâm phạm mà Okta đã báo cáo trong hệ thống quản trị hỗ trợ khách hàng của mình.
  • Kẻ tấn công đã lấy được các tệp HTTP archive (HAR), chứa thông tin nhạy cảm như cookie xác thực và token phiên.
  • 1Password là trường hợp được biết đến thứ hai trong số các khách hàng Okta trở thành mục tiêu trong các cuộc tấn công tiếp theo.
  • Kẻ tấn công cũng đã truy cập vào tenant Okta của 1Password, nơi được dùng để quản lý quyền truy cập và đặc quyền hệ thống.
  • Kẻ tấn công đã cập nhật IDP (nhà cung cấp danh tính) dùng để xác thực môi trường production do Google cung cấp.
  • Sau đó, 1Password đã thay đổi các thiết lập cấu hình của tenant Okta để tăng cường bảo mật.
  • Vụ xâm nhập của Okta là một phần trong chuỗi tấn công nhắm vào các công ty lớn cung cấp phần mềm hoặc dịch vụ cho các khách hàng quy mô lớn.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-10-25
Ý kiến trên Hacker News
  • Việc thuê ngoài đăng nhập một lần (SSO) không chỉ liên quan đến sự thuận tiện về mặt kỹ thuật hay năng lực, mà còn là bảo đảm với khách hàng rằng việc này đang được một nhà cung cấp đáng tin cậy xử lý.
  • Việc 1Password chuyển từ lưu trữ ngoại tuyến, cục bộ sang lưu trữ dựa trên đám mây và mô hình thuê bao đã làm gia tăng lo ngại về bảo mật dữ liệu.
  • Ngay cả khi tuân theo các thực hành thiết kế tốt nhất, việc độ phức tạp và khả năng quan sát bị sụp đổ vẫn có thể dẫn đến những lỗ hổng nghiêm trọng.
  • Sự cố của 1Password có thể khiến các công ty chuyển sang dùng Yubikey cho 2FA, vì bất cứ thứ gì thấp hơn FIDO2 đều bị xem là yếu.
  • Xét đến lịch sử các vụ vi phạm bảo mật, một số người dùng đặt câu hỏi về việc chọn Okta làm IDP.
  • Lỗi trong sự cố này thuộc về Okta, vì họ đã yêu cầu các phiên HAR được mã hóa dạng văn bản thuần để xử lý sự cố mà không có biện pháp làm sạch phù hợp.
  • Một số người dùng thích trình quản lý mật khẩu tự lưu trữ, tự đồng bộ hơn các dịch vụ trực tuyến vì lý do bảo mật.
  • Cần có các thực hành tốt nhất và công cụ thông minh hơn cho ứng dụng để giám sát hành vi đáng ngờ.
  • 1Password là khách hàng Okta thứ hai được biết đến bị nhắm mục tiêu trong cuộc tấn công tiếp nối sau khi Cloudflare cũng là nạn nhân.
  • Bất chấp khả năng có xâm phạm, mật khẩu của người dùng vẫn nên an toàn vì được mã hóa cả khi lưu trữ lẫn khi truyền tải.