La solution populaire de gestion des mots de passe 1Password a déclaré avoir détecté une activité suspecte sur son instance Okta le 29 septembre à la suite de la violation du système d’assistance, mais a réitéré qu’aucune donnée utilisateur n’avait été consultée.
« Nous avons immédiatement mis fin à l’activité, enquêté et trouvé aucune compromission des données des utilisateurs ou d’autres systèmes sensibles, que ce soit destinés aux employés ou aux utilisateurs », Pedro Canahuati, CTO de 1Password, dit dans un avis du lundi.
La violation se serait produite à l’aide d’un cookie de session après qu’un membre de l’équipe informatique ait partagé un fichier HAR avec le support Okta, l’acteur menaçant effectuant l’ensemble d’actions ci-dessous :
- Tentative d’accès au tableau de bord utilisateur du membre de l’équipe informatique, mais blocage par Okta
- Mise à jour d’un IDP existant lié à notre environnement de production Google
- Activé l’IDP
- Demandé un rapport des utilisateurs administratifs
La société a déclaré avoir été alertée de l’activité malveillante après que le membre de l’équipe informatique ait reçu un e-mail concernant le rapport d’utilisateur administratif « demandé ».
1Password a en outre déclaré avoir pris un certain nombre de mesures pour renforcer la sécurité en refusant les connexions des IDP non-Okta, en réduisant la durée des sessions pour les utilisateurs administratifs, en renforçant les règles d’authentification multifacteur (MFA) pour les administrateurs et en réduisant le nombre de super-administrateurs.
« Corroborant le support d’Okta, il a été établi que cet incident présente des similitudes avec une campagne connue dans laquelle des acteurs malveillants compromettent les comptes de super-administrateur, puis tentent de manipuler les flux d’authentification et d’établir un fournisseur d’identité secondaire pour usurper l’identité des utilisateurs au sein de l’organisation concernée », a déclaré 1Password. .
Il convient de souligner que le fournisseur de services d’identité avait déjà mis en garde contre les attaques d’ingénierie sociale orchestrées par des acteurs malveillants pour obtenir des autorisations d’administrateur élevées.
Au moment de la rédaction, on ne sait pas actuellement si les attaques ont un lien avec Scattered Spider (alias 0ktapus, Scatter Swine ou UNC3944), qui a l’habitude de cibler Okta à l’aide d’attaques d’ingénierie sociale pour obtenir des privilèges élevés.
Cette évolution intervient quelques jours après qu’Okta a révélé que des acteurs malveillants non identifiés ont exploité un identifiant volé pour pénétrer dans son système de gestion des dossiers d’assistance et voler des fichiers HAR sensibles qui peuvent être utilisés pour infiltrer les réseaux de ses clients.
La société a déclaré à The Hacker News que l’événement avait touché environ 1 % de sa clientèle. Parmi les autres clients touchés par l’incident figurent BeyondTrust et Cloudflare.
« L’activité que nous avons observée suggère qu’ils ont effectué une reconnaissance initiale avec l’intention de passer inaperçus dans le but de recueillir des informations en vue d’une attaque plus sophistiquée », a déclaré 1Password.