1Password getroffen door aanval gerelateerd aan Okta-hack
Wachtwoordmanager 1Password is getroffen door een beveiligingsincident gerelateerd aan de recente cyberinbraak op het authentificatieplatform Okta. Met behulp van gestolen klantgegevens kon aan aanvaller inloggen op de Okta-omgeving van 1Password.
1Password meldt Okta te gebruiken voor het beheer van zijn interne accounts. Okta is onlangs getroffen door een cyberinbraak. Indien klanten een ticket aanmaken vraagt Okta support klanten in sommige gevallen een HTTP Archive (HAR)-bestand te uploaden, die het gebruikt om problemen na te bootsen door browseractiviteiten na te bootsen. Deze bestanden kunnen gevoelige informatie van klanten omvatten, waaronder cookies en sessietokens. Kwaadwillenden kunnen zich hiermee als een slachtoffer uitgeven.
Sessiecookies in handen van de aanvaller
Ook een IT-medewerker van 1Password diende een ticket in en uploadde hierbij een HAR-bestand. Zo kreeg de aanvaller onder meer de sessiecookies in handen, en wist via deze route toegang te krijgen tot het Okta-account van 1Password.
Vervolgens probeerde de aanvaller toegang te verkrijgen tot het dashboard van de betrokken IT-medewerker. Okta blokkeerde deze poging echter. Ook is een identity provider die door 1Password is ingezet door de aanvaller geüpdatet en geactiveerd. Vermoedelijk met als doel op een later moment via deze identity provider te kunnen inloggen.
1Password meldt dat de aanvaller geen toegang heeft gekregen tot systemen buiten Okta. Meer informatie is te vinden in een rapport dat 1Password deelt over het security-incident.
Meer over Security
Over Wouter Hoeffnagel
