1Password tiết lộ sự cố bảo mật liên quan đến vi phạm của Okta

1Password, một nền tảng quản lý mật khẩu phổ biến được hơn 100.000 doanh nghiệp sử dụng, đã gặp sự cố bảo mật sau khi tin tặc giành được quyền truy cập vào hệ thống quản lý ID Okta.

CTO 1Password Pedro Canahuati đã có thông báo về sự cố bảo mật : “Chúng tôi đã phát hiện hoạt động đáng ngờ trên phiên bản Okta liên quan đến sự cố trong Hệ thống hỗ trợ (Support System) của họ. Sau khi điều tra kỹ lưỡng, chúng tôi kết luận rằng không có dữ liệu người dùng 1Password nào được truy cập.”

"Vào ngày 29 tháng 9, chúng tôi đã phát hiện hoạt động đáng ngờ trên hệ thống Okta mà chúng tôi sử dụng để quản lý các ứng dụng dành cho nhân viên của mình."

“Chúng tôi ngay lập tức dừng hoạt động để điều tra và không phát hiện bất kỳ sự xâm phạm nào đối với dữ liệu người dùng hoặc các hệ thống nhạy cảm khác, kể cả đối với nhân viên hay người dùng.”

Thứ Sáu tuần trước, Okta tiết lộ rằng các tác nhân đe dọa đã vi phạm hệ thống quản lý yêu cầu hỗ trợ của họ bằng cách sử dụng thông tin đăng nhập bị đánh cắp.

Là một phần của các trường hợp hỗ trợ này, Okta thường xuyên yêu cầu khách hàng tải tệp HTTP Archive (HAR) lên để khắc phục sự cố của khách hàng. Tuy nhiên, các tệp HAR này có chứa dữ liệu nhạy cảm, bao gồm cookie xác thực và session token (mã xác thực phiên) có thể được sử dụng để mạo danh khách hàng Okta hợp lệ.

Okta lần đầu tiên biết về hành vi xâm phạm tổ chức hỗ trợ của họ từ BeyondTrust, cho thấy tổ chức hỗ trợ của họ đã bị xâm phạm. Tuy nhiên, Okta phải mất hơn hai tuần mới xác nhận được hành vi vi phạm.

Cloudflare cũng phát hiện hoạt động độc hại trên hệ thống của họ vào ngày 18 tháng 10, hai ngày trước khi Okta tiết lộ vụ việc. Giống như BeyondTrust, kẻ đe dọa đã sử dụng mã thông báo xác thực bị đánh cắp từ hệ thống hỗ trợ của Okta để truy cập vào phiên bản Okta của Cloudflare và giành được các đặc quyền Quản trị.

Vụ vi phạm 1Password liên quan tới Okta

Trong một báo cáo được phát hành vào chiều thứ Hai, 1Password cho biết các tác nhân đe dọa đã xâm nhập vào hệ thống Okta của họ bằng cách sử dụng cookie bị đánh cắp cho một nhân viên CNTT.

Báo cáo từ 1Password cho biết “sự cố này có những điểm tương đồng với một chiến dịch đã biết, trong đó các tác nhân đe dọa sẽ xâm phạm tài khoản quản trị viên cấp cao, sau đó cố gắng thao túng các luồng xác thực và tạo ra nhà cung cấp danh tính phụ để mạo danh người dùng trong tổ chức bị ảnh hưởng”.

Theo báo cáo, một thành viên của nhóm CNTT 1Password đã đọc một trường hợp hỗ trợ Okta và cung cấp tệp HAR được tạo từ Chrome Dev Tools.

Tệp HAR này chứa cùng một phiên xác thực Okta được sử dụng để có quyền truy cập trái phép vào trang quản trị Okta.

Sử dụng quyền truy cập này, kẻ đe dọa đã có thể:

- Cố truy cập vào bảng điều khiển người dùng của thành viên nhóm CNTT nhưng bị Okta chặn.

- Cập nhật IDP (Nhà cung cấp danh tính Okta) hiện có.

- Kích hoạt IDP.

- Yêu cầu báo cáo của người dùng quản trị

Nhóm CNTT của 1Password đã biết về hành vi vi phạm này vào ngày 29 tháng 9 sau khi nhận được một email đáng ngờ về báo cáo hành chính đã được yêu cầu nhưng không phải là yêu cầu chính thức từ phía nhân viên.

1Password cho biết: “Vào ngày 29 tháng 9 năm 2023, một thành viên của nhóm CNTT đã nhận được thông báo email không mong muốn cho biết họ đã tạo một báo cáo Okta chứa danh sách các quản trị viên”.

Canahuati cho biết: “Kể từ đó, chúng tôi đã làm việc với Okta để xác định cách thức xâm phạm ban đầu. Tính đến cuối ngày 20 tháng 10, chúng tôi đã xác nhận rằng đây là kết quả của việc vi phạm Hệ thống hỗ trợ của Okta”.

Tuy nhiên, Okta khẳng định rằng nhật ký của họ không cho thấy tệp HAR của nhân viên CNTT đã được truy cập cho đến khi sự cố bảo mật của 1Password đã xảy ra.

1Password đã thay đổi tất cả thông tin đăng nhập của nhân viên CNTT và sửa đổi cấu hình Okta của họ, bao gồm từ chối đăng nhập từ các IDP không phải Okta, giảm thời gian phiên cho người dùng quản trị, thiết lập quy tắc chặt chẽ hơn về MFA cho người dùng quản trị và giảm số lượng quản trị viên cấp cao.

Nguồn: bleepingcomputer.com.