继本周早些时候?Okta 发生重大安全事件的消息传出后,这次攻击似乎已经在整个商业界引起了连锁反应。
顶级密码管理公司之一 1Password 披露了一次网络攻击,该攻击似乎是由于 Okta 漏洞而直接造成的。
1Password 首席技术官 Pedro Canahuati 在一封电子邮件中写道:“9 月 29 日,我们在用于管理面向员工的应用程序的 Okta 实例上检测到可疑活动。” Ars Technica 报道称:“我们立即终止了该活动,进行了调查,发现用户数据或其他敏感系统(无论是面向员工还是面向用户)都没有受到损害。”
窃取 HAR 文件
Canahuati 补充说,1Password 一直在调查攻击者如何设法破坏系统,但这个问题可能已经由 Okta 本身给出了答案。
本周早些时候,身份管理和身份验证服务提供商 Okta 分享了一个威胁行为者通过未知方式破坏其客户支持案例管理系统的消息。一旦进入,它就会设法获取有需要的客户上传的文件,其中通常包括身份验证 cookie 和会话令牌。这些文件不仅可用于绕过登录凭据,还可用于绕过多重身份验证 (MFA),从而授予攻击者访问各种工具和服务的权限。
BeyondTrust 的一名客户在与 Okta 进行了简短沟通后报告了其网络上的奇怪行为,之后,BeyondTrust 的网络安全专家率先发现了该问题。
1Password 没有提供更多细节,但 Ars Technica 确实发现了 10 月中旬的一份报告,据称该报告在 1Password Notion 内部工作区上共享,其中指出攻击者获得了其一名 IT 员工上传到 Okta 的 HAR 文件。该文件记录了 1Password 员工的浏览器和 Okta 服务器之间的所有流量,包括会话 cookie,但 1Password 不想讨论该报告的真实性。
攻击者显然试图访问 IT 员工的 Okta 仪表板,但没有成功。他们还更新了与 1Password 的生产Google环境相关的现有身份提供商 (IDP) ,并激活了 IDP。最后,他们要求管理员用户提供报告,并通知所有管理员。该通知向各方发出了危险信号,并帮助该公司避免了更大的事件。
领取专属 10元无门槛券
私享最新 技术干货