1Password Mendeteksi Aktivitas Mencurigakan Setelah Pelanggaran Dukungan Okta

 

Solusi manajemen kata sandi yang populer, 1Password, mengatakan pihaknya mendeteksi aktivitas mencurigakan pada instans Okta pada tanggal 29 September setelah pelanggaran sistem dukungan, namun menegaskan kembali bahwa tidak ada data pengguna yang diakses.

 “Kami segera menghentikan aktivitas tersebut, menyelidiki, dan tidak menemukan adanya kompromi terhadap data pengguna atau sistem sensitif lainnya, baik yang berhubungan dengan karyawan maupun yang berhubungan dengan pengguna,” Pedro Canahuati, CTO 1Password, mengatakan dalam pemberitahuan hari Senin.

 Pelanggaran dikatakan terjadi menggunakan cookie sesi setelah anggota tim TI membagikan file HAR dengan Okta Support, dan pelaku ancaman melakukan serangkaian tindakan di bawah ini -

• Mencoba mengakses dasbor pengguna anggota tim TI, namun diblokir oleh Okta 
• Memperbarui IDP yang ada dan terkait dengan lingkungan produksi Google kami 
• Mengaktifkan IDP
•  Meminta laporan pengguna administratif

Perusahaan tersebut mengatakan pihaknya diberitahu tentang aktivitas jahat tersebut setelah anggota tim TI menerima email tentang laporan pengguna administratif yang "diminta".

1Password lebih lanjut mengatakan bahwa pihaknya telah mengambil sejumlah langkah untuk meningkatkan keamanan dengan menolak login dari IDP non-Okta, mengurangi waktu sesi untuk pengguna administratif, aturan otentikasi multi-faktor (MFA) yang lebih ketat untuk admin, dan mengurangi jumlah administrator super. 

 “Dikuatkan dengan dukungan Okta, ditemukan bahwa insiden ini memiliki kesamaan dengan kampanye yang diketahui di mana pelaku ancaman akan menyusupi akun admin super, kemudian mencoba memanipulasi alur otentikasi dan membentuk penyedia identitas sekunder untuk menyamar sebagai pengguna dalam organisasi yang terkena dampak,” kata 1Password. .

 Perlu diperhatikan bahwa penyedia layanan identitas sebelumnya telah memperingatkan tentang serangan rekayasa sosial yang diatur oleh pelaku ancaman untuk mendapatkan izin administrator yang lebih tinggi.

 Saat artikel ini ditulis, belum diketahui apakah serangan tersebut ada hubungannya dengan Scattered Spider (alias 0ktapus, Scatter Swine, atau UNC3944), yang memiliki rekam jejak menargetkan Okta menggunakan serangan rekayasa sosial untuk mendapatkan hak istimewa yang lebih tinggi.

 Perkembangan ini terjadi beberapa hari setelah Okta mengungkapkan bahwa pelaku ancaman tak dikenal memanfaatkan kredensial curian untuk membobol sistem manajemen kasus dukungannya dan mencuri file HAR sensitif yang dapat digunakan untuk menyusup ke jaringan pelanggannya.

 Perusahaan tersebut mengatakan kepada The Hacker News bahwa peristiwa tersebut berdampak pada sekitar 1 persen basis pelanggannya. Beberapa pelanggan lain yang terkena dampak insiden ini termasuk BeyondTrust dan Cloudflare.

 “Aktivitas yang kami lihat menunjukkan bahwa mereka melakukan pengintaian awal dengan tujuan agar tetap tidak terdeteksi dengan tujuan mengumpulkan informasi untuk serangan yang lebih canggih,” kata 1Password.