La popular solución de administración de contraseñas 1Password dijo que detectó actividad sospechosa en su instancia de Okta el 29 de septiembre luego de la violación del sistema de soporte, pero reiteró que no se accedió a ningún dato del usuario.
«Terminamos inmediatamente la actividad, investigamos y no encontramos ningún compromiso de los datos del usuario u otros sistemas sensibles, ya sea de cara al empleado o al usuario», Pedro Canahuati, CTO de 1Password, dicho en un aviso del lunes.
Se dice que la infracción se produjo mediante una cookie de sesión después de que un miembro del equipo de TI compartiera un archivo HAR con el soporte de Okta, y el actor de la amenaza realizó el siguiente conjunto de acciones:
- Intentó acceder al panel de usuario del miembro del equipo de TI, pero Okta lo bloqueó
- Se actualizó un IDP existente vinculado a nuestro entorno de producción de Google.
- Activó el IDP
- Solicitó un informe de usuarios administrativos.
La compañía dijo que fue alertada sobre la actividad maliciosa después de que el miembro del equipo de TI recibió un correo electrónico sobre el informe administrativo «solicitado» del usuario.
1Password dijo además que desde entonces ha tomado una serie de medidas para reforzar la seguridad al negar los inicios de sesión de IDP que no sean de Okta, reducir los tiempos de sesión para los usuarios administrativos, reglas de autenticación multifactor (MFA) más estrictas para los administradores y disminuir el número de superadministradores.
«Corroborando con el soporte de Okta, se estableció que este incidente comparte similitudes con una campaña conocida en la que los actores de amenazas comprometerán las cuentas de superadministrador, luego intentarán manipular los flujos de autenticación y establecer un proveedor de identidad secundario para hacerse pasar por usuarios dentro de la organización afectada», dijo 1Password. .
Vale la pena señalar que el proveedor de servicios de identidad había advertido previamente sobre ataques de ingeniería social orquestados por actores de amenazas para obtener permisos elevados de administrador.
Al momento de escribir este artículo, actualmente no se sabe si los ataques tienen alguna conexión con Scattered Spider (también conocido como 0ktapus, Scatter Swine o UNC3944), que tiene un historial de atacar a Okta utilizando ataques de ingeniería social para obtener privilegios elevados.
El desarrollo se produce días después de que Okta revelara que actores de amenazas no identificados aprovecharon una credencial robada para ingresar a su sistema de administración de casos de soporte y robar archivos HAR confidenciales que pueden usarse para infiltrarse en las redes de sus clientes.
La compañía le dijo a The Hacker News que el evento afectó a alrededor del 1 por ciento de su base de clientes. Algunos de los otros clientes que se vieron afectados por el incidente incluyen BeyondTrust y Cloudflare.
«La actividad que vimos sugirió que llevaron a cabo un reconocimiento inicial con la intención de permanecer sin ser detectados con el fin de recopilar información para un ataque más sofisticado», dijo 1Password.