1Password, une plateforme de gestion de mots de passe populaire utilisée par plus de 100 000 entreprises, a subi une faille de sécurité après que des pirates ont accédé à son système de gestion des identifiants Okta.
« Nous avons détecté une activité suspecte sur notre instance Okta liée à leur incident de système de support. Après une enquête approfondie, nous avons conclu qu’aucune donnée utilisateur de 1Password n’avait été consultée », lit-on dans un très bref communiqué. notification d’incident de sécurité du directeur technique de 1Password, Pedro Canahuati.
« Le 29 septembre, nous avons détecté une activité suspecte sur notre instance Okta que nous utilisons pour gérer nos applications destinées aux employés. »
« Nous avons immédiatement mis fin à l’activité, enquêté et n’avons trouvé aucune compromission des données des utilisateurs ou d’autres systèmes sensibles, qu’ils soient destinés aux employés ou aux utilisateurs. »
Vendredi, Okta a révélé que des acteurs malveillants avaient violé son système de gestion des dossiers d’assistance en utilisant des informations d’identification volées.
Dans le cadre de ces cas d’assistance, Okta demande régulièrement aux clients de télécharger Archives HTTP (HAR) fichiers pour résoudre les problèmes des clients. Cependant, ces fichiers HAR contiennent des données sensibles, notamment des cookies d’authentification et des jetons de session qui peuvent être utilisés pour usurper l’identité d’un client Okta valide.
Okta a été informé pour la première fois de la violation par BeyondTrust, qui a partagé des données médico-légales avec Okta, montrant que son organisation d’assistance était compromise. Cependant, il a fallu plus de deux semaines à Okta pour confirmer la violation.
Cloudflare a également détecté une activité malveillante sur ses systèmes le 18 octobre, deux jours avant qu’Okta ne révèle l’incident. Comme BeyondTrust, les auteurs de la menace ont utilisé un jeton d’authentification volé dans le système de support d’Okta pour pivoter vers l’instance Okta de Cloudflare et obtenir des privilèges administratifs.
1Fracture de mot de passe liée à Okta
Dans un rapport publié lundi après-midi, 1Password affirme que des acteurs malveillants ont violé son client Okta en utilisant un cookie de session volé pour un employé informatique.
« Corroborant le support d’Okta, il a été établi que cet incident présente des similitudes avec une campagne connue dans laquelle des acteurs malveillants compromettent les comptes de super-administrateur, puis tentent de manipuler les flux d’authentification et d’établir un fournisseur d’identité secondaire pour usurper l’identité des utilisateurs au sein de l’organisation concernée », lit-on dans le communiqué. 1Rapport sur les mots de passe.
Selon le rapport, un membre de l’équipe informatique de 1Password a ouvert un dossier d’assistance auprès d’Okta et a fourni un fichier HAR créé à partir des outils de développement Chrome.
Ce fichier HAR contient la même session d’authentification Okta utilisée pour obtenir un accès non autorisé au portail d’administration Okta.
En utilisant cet accès, l’acteur malveillant a tenté d’effectuer les actions suivantes :
- J’ai tenté d’accéder au tableau de bord utilisateur du membre de l’équipe informatique, mais j’ai été bloqué par Okta.
- Mise à jour d’un IDP (Okta Identity Provider) existant lié à notre environnement de production Google.
- Activé l’IDP.
- Demandé un rapport des utilisateurs administratifs
L’équipe informatique de 1Password a eu connaissance de cette violation le 29 septembre après avoir reçu un e-mail suspect concernant le rapport administratif demandé qui n’était pas officiellement demandé par les employés.
« Le 29 septembre 2023, un membre de l’équipe informatique a reçu une notification inattendue par e-mail suggérant qu’il avait lancé un rapport Okta contenant une liste d’administrateurs », explique 1Password dans le rapport.
« Depuis lors, nous travaillons avec Okta pour déterminer le vecteur initial de compromission. Vendredi 20 octobre, nous avons confirmé que cela était le résultat d’une violation du système de support d’Okta », a déclaré Canahuati.
Cependant, il semble y avoir une certaine confusion quant à la manière dont 1Password a été violé, car Okta affirme que ses journaux ne montrent pas que le fichier HAR de l’employé informatique a été consulté avant l’incident de sécurité de 1Password.
1Password déclare avoir depuis modifié toutes les informations d’identification de l’employé informatique et modifié sa configuration Okta, notamment en refusant les connexions des IDP non Okta, en réduisant la durée des sessions pour les utilisateurs administratifs, en renforçant les règles MFA pour les utilisateurs administratifs et en réduisant le nombre de super-administrateurs. .
BleepingComputer a contacté 1Password pour lui poser d’autres questions sur l’incident, mais aucune réponse n’a été immédiatement disponible.