1Password, un rinomato gestore di password, ha identificato un’attività sospetta nella sua istanza di Okta il 29 settembre, a seguito di una violazione del sistema di supporto. Nonostante ciò, ha rassicurato che nessun dato dell’utente è stato compromesso. Pedro Canahuati, CTO di 1Password, ha confermato che nonostante l’attività sospetta, non è stata riscontrata alcuna compromissione dei dati degli utenti o di altri sistemi sensibili.
Sembra che la violazione sia iniziata quando un componente del team IT ha condiviso un file HAR con il supporto di Okta. Un individuo sospetto ha cercato di accedere alla dashboard dell’utente del team IT, ma Okta lo ha fermato. In seguito, ha modificato un IDP già esistente associato all’ambiente di produzione Google e ha chiesto un elenco degli utenti con privilegi amministrativi.
L’azienda è stata messa in allarme riguardo all’attività sospetta dopo che un membro del team IT ha ricevuto un’email relativa a un rapporto “richiesto” sull’utente amministrativo. 1Password ha risposto implementando una serie di misure per potenziare la sicurezza, inclusa la negazione degli accessi da IDP non-Okta, la diminuzione dei tempi di sessione per gli utenti amministrativi, l’applicazione di regole di autenticazione multi-fattore (MFA) più stringenti per gli amministratori e la riduzione del numero di super amministratori.
Lavorando insieme al team di supporto di Okta, è emerso che questo sinistro digitale ha paralleli con una campagna di aggressione nota, in cui gli attaccanti compromettono gli account dei super amministratori. Successivamente, cercano di alterare i processi di autenticazione e impostare un provider di identità secondario per impersonare gli utenti all’interno dell’organizzazione presa come target.
È importante notare che il provider di servizi di identità aveva precedentemente avvertito degli attacchi di ingegneria sociale orchestrati da attori ostili per ottenere permessi di amministratore elevati. Al momento della scrittura, non è ancora noto se gli attacchi abbiano qualche collegamento con Scattered Spider, che ha un precedente di attacchi a Okta utilizzando attacchi di ingegneria sociale per ottenere privilegi elevati.