Der Verstoß gegen 1Password Okta wurde von den Behörden aufgedeckt und Cybersicherheitsexperten hoben die Augenbrauen über das Problem. Schauen wir es uns genauer an.
1Password, ein weit verbreiteter Passwort-Manager für Privatpersonen und Unternehmen, hat auf eine besorgniserregende Sicherheitslücke im Zusammenhang mit Okta, einem führenden Anbieter von Identitäts- und Authentifizierungsdiensten, aufmerksam gemacht. Dieser Vorfall hat wichtige Fragen zur Cybersicherheit und ihren Auswirkungen aufgeworfen. Hier geben wir einen einfachen Überblick über den Vorfall.
Die Entdeckung des 1Password Okta-Verstoßes
Der Chief Technology Officer von 1Password, Pedro Canahuati, meldete am 29. September verdächtige Aktivitäten. Die Aktivität sei auf dem Okta-Konto von 1Password entdeckt worden, das eine entscheidende Rolle bei der Verwaltung von Anwendungen spiele, die Mitarbeiter nutzen, sagte er TechCrunch. Die Reaktion erfolgte schnell: Die verdächtige Aktivität wurde gestoppt und eine gründliche Untersuchung eingeleitet. Wichtig ist, dass die Untersuchung keine Kompromittierung von Benutzerdaten oder sensiblen Systemen ergab, weder für Mitarbeiter noch für Benutzer.
Die Ermittlungen endeten hier jedoch nicht. In enger Zusammenarbeit mit Okta versuchte 1Password herauszufinden, wie der Angreifer Zugriff auf das Konto erhalten hatte. Anschließend wurde bestätigt, dass dieser Verstoß mit dem zuvor von Okta in Bezug auf sein Kundensupport-Managementsystem offengelegten Verstoß zusammenhängt.
Aufschlüsselung der Datenschutzverletzung bei Okta: Was ist passiert?
Details zum 1Password Okta-Verstoß im Oktober 2023
Okta gab bekannt, dass sich eine unbefugte Partei Zugang zu seinem Kundensupport-Fallverwaltungssystem verschafft hatte. Von dort aus griff dieser Eindringling auf Dateien zu, die von verschiedenen Okta-Kunden hochgeladen wurden. Diese Dateien enthielten HTTP-Archivdaten (HAR), ein Tool, das von Okta-Supportmitarbeitern verwendet wird, um Browseraktivitäten zur Fehlerbehebung zu replizieren. In diesen Dateien befanden sich sensible Authentifizierungscookies und Sitzungstoken, die in den falschen Händen für Identitätsdiebstahl verwendet werden könnten.
Darüber hinaus spielte das Sicherheitsunternehmen BeyondTrust eine Schlüsselrolle bei der Aufdeckung dieses Einbruchs. Sie entdeckten den Verstoß, als ein Angreifer versuchte, mithilfe gültiger Authentifizierungscookies auf ihr Okta-Konto zuzugreifen. Während der Angreifer einige begrenzte Aktionen ausführen konnte, erwiesen sich die Zugriffskontrollen von BeyondTrust als wirksam und verhinderten weiteren Zugriff. Dies ist insbesondere der zweite bekannte Okta-Kunde, der Gegenstand eines Folgeangriffs ist.
Antwort und Aktionen von 1Password
Bisher hat 1Password keine ausführlichen Details zu dem Vorfall veröffentlicht. In einer am Montag veröffentlichten Erklärung blieb das Unternehmen relativ ruhig und Fragen blieben unbeantwortet. Ein Bericht vom 18. Oktober deutet jedoch darauf hin, dass der Angreifer bei Interaktionen mit dem Okta-Support eine HAR-Datei erhalten hatte, die von einem 1Password-IT-Mitarbeiter erstellt wurde. Diese Datei enthielt eine umfassende Aufzeichnung aller Kommunikationen zwischen dem Browser des Mitarbeiters und den Servern von Okta, einschließlich sensibler Sitzungscookies.
Der Verstoß ging darüber hinaus; Der Angreifer infiltrierte auch den Okta-Mandanten von 1Password, eine wichtige Plattform zur Verwaltung von Systemzugriffen und -privilegien. Sie hatten auch Zugriff auf Gruppenzuweisungen und hinterließen keine Spuren in den Ereignisprotokollen. Der Verstoß wurde bekannt, als das IT-Team von 1Password eine unerwartete E-Mail erhielt, was zu weiteren Untersuchungen führte. Dies führte dazu, dass Sicherheitsteams alarmiert wurden und schnell Maßnahmen zur Verbesserung der Sicherheitskonfigurationen ergriffen wurden.
Um ein klareres Bild der Art des Einbruchs zu vermitteln, finden Sie hier eine Zusammenfassung der Aktionen, die der Angreifer durchgeführt hat Ars Technica:
- Es wurde versucht, auf das Okta-Dashboard des IT-Mitarbeiters zuzugreifen, wurde jedoch blockiert.
- Ein vorhandener Identitätsanbieter (IDP) aktualisiert, der mit der Google-Umgebung von 1Password verknüpft ist.
- Den IDP aktiviert.
- Habe einen Bericht über administrative Benutzer angefordert.
Dies ist nicht das erste Mal, dass Okta mit einem Sicherheitsvorfall konfrontiert wird. Vor diesem Verstoß wurde ihr Quellcode im Dezember 2022 gestohlen und im Januar 2022 veröffentlichten Hacker öffentlich Screenshots des internen Netzwerks von Okta. Der jüngste Verstoß hatte erhebliche finanzielle Auswirkungen: Der Aktienkurs von Okta fiel um über 11 %, was zu einer erheblichen Abwertung des Unternehmens führte und seinen Marktwert um mindestens 2 Milliarden US-Dollar vernichtete.
Zusammenfassend lässt sich sagen, dass diese Cybersicherheitsvorfälle zwar Anlass zur Sorge geben, die schnellen und proaktiven Reaktionen der betroffenen Organisationen jedoch Anlass zu Optimismus geben. Sie unterstreichen die Bedeutung robuster Sicherheitsmaßnahmen in einer sich ständig weiterentwickelnden digitalen Landschaft. Wir werden diese Situation weiterhin im Hinblick auf weitere Entwicklungen beobachten, da die Technologiewelt angesichts der sich entwickelnden Cyber-Bedrohungen wachsam bleibt.
Hervorgehobener Bildnachweis: Alex Chumak/Unsplash
