Okta-Zugriffstoken und 1Password gehackt – Userdaten unberührt

Hacker haben Zugriffstoken des Unternehmens Okta gestohlen und unerlaubt verwendet, wie am Wochenende bekannt wurde. Dadurch waren Kunden von Okta von den Angriffen betroffen. Nun hat auch 1Password zugegeben, zu den Geschädigten zu gehören.

In einer kurzen Erklärung gab 1Password bekannt, dass das Unternehmen verdächtige Vorfälle in Bezug auf ihre Okta-Instanz im Zusammenhang mit ihrem Support-System festgestellt hat. Nach einer ausführlichen Untersuchung konnte jedoch festgestellt werden, dass keine Benutzerdaten von 1Password betroffen waren.

Bereits am 29. September wurden verdächtige Aktivitäten in der Okta-Instanz bemerkt, die für die Verwaltung der Apps, mit denen die Mitarbeiter von 1Password arbeiten, genutzt wird. 1Password reagierte sofort und beendete die Aktivität, untersuchte den Vorfall und stellte fest, dass weder Mitarbeiterdaten noch andere sensible Systeme gefährdet waren.

Am späten Freitag letzter Woche konnte 1Password bestätigen, dass der Vorfall auf den Einbruch in Oktas Support-Systeme zurückzuführen ist. Ein Bericht über den Vorfall enthält weitere Informationen.

Der Einbruch wurde aufgedeckt, als das IT-Team eine E-Mail erhielt, in der sie darüber informiert wurden, dass sie einen Bericht angefordert hätten, der eine Liste aller Administratoren bei Okta enthält. Da jedoch niemand im Team eine solche Anfrage gestellt hatte, wurden sie auf den Vorfall aufmerksam.

Die verdächtigen Aktivitäten in der Okta-Umgebung von 1Password wurden von einer IP-Adresse verübt, und die Angreifer erlangten Administratorrechte, um Zugriff zu erhalten. Die Vorgehensweise der Eindringlinge ähnelte einer bekannten Kampagne, bei der sie Super-Admin-Konten hacken, um den Authentifizierungsprozess zu manipulieren und sekundäre Identitätsanbieter einzurichten. Dadurch können sie Nutzerinnen und Nutzer der betroffenen Organisation imitieren.

Nach der ersten Untersuchung von 1Password gibt es keine Beweise dafür, dass die Angreifer auf Systeme außerhalb der Okta-Umgebung zugegriffen haben. Es wird vermutet, dass die Angreifer begonnen haben, Informationen zu sammeln, um eine weiterentwickelte Attacke durchzuführen.

1Password betont, dass die sofort ergriffenen Maßnahmen das Risiko dieses Vorfalls erfolgreich abgewendet haben. Ein Mitarbeiter im IT-Bereich hatte eine Support-Anfrage bei Okta gestellt und daraufhin eine HAR-Datei mithilfe der Google Chrome Entwicklertools zum Debugging erstellt. In dieser Datei waren sämtliche Kommunikation zwischen dem Webbrowser und den Okta-Servern enthalten, einschließlich vertraulicher Daten wie Session-Cookies.

Die Taktik der Angreifer bestand darin, auf das Dashboard des IT-Mitarbeiters mittels des Session-Cookies zuzugreifen, was jedoch von Okta blockiert wurde. Anschließend aktualisierten sie einen vorhandenen Identity Provider (IDP), der mit der Google-Produktionsumgebung verknüpft war, und aktivierten ihn. Schließlich forderten sie einen Bericht an, der eine Liste der administrativen Nutzer enthält. Diese letzte Maßnahme führte zur Entdeckung des Vorfalls und zur Ergreifung von Abwehrmaßnahmen.

Laut Arstechnica wurde jedoch berichtet, dass eine interne Version des Berichts, die einen Tag älter als das veröffentlichte PDF war und auf den 18. Oktober datierte, immer noch enthielt, dass die Angreifer Gruppenzuweisungen im Okta-Tenant von 1Password einsehen und andere Aktionen durchführen konnten, für die keine Protokolle erstellt wurden.

Okta hat am letzten Wochenende zugegeben, dass es zu einer Sicherheitslücke gekommen ist. Die Hacker hatten für einen Zeitraum von zwei Wochen Zugriff, bevor das Unternehmen den Angriff vollständig unter Kontrolle bringen konnte. BeyondTrust, eine IT-Sicherheitsfirma, wurde als erstes weiteres Opfer bekannt, nachdem sie am 2. Oktober einen Angriff auf Okta-Administrator-Zugänge bemerkt und dem Anbieter gemeldet hatte.

Erst am vergangenen Donnerstag informierte Okta die betroffenen Kunden darüber, dass das Unternehmen einen Sicherheitsvorfall erlebt hatte.

Schlagwörter: Cyberkriminalität + Identitäts und Zugangsverwaltung + Zugriffstoken

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 24. Oktober 2023