Hacker haben Zugriffstoken des Unternehmens Okta gestohlen und unerlaubt verwendet, wie am Wochenende bekannt wurde. Dadurch waren Kunden von Okta von den Angriffen betroffen. Nun hat auch 1Password zugegeben, zu den Gesch\u00e4digten zu geh\u00f6ren. <\/p>\n
In einer kurzen Erkl\u00e4rung gab 1Password bekannt, dass das Unternehmen verd\u00e4chtige Vorf\u00e4lle in Bezug auf ihre Okta-Instanz im Zusammenhang mit ihrem Support-System festgestellt hat. Nach einer ausf\u00fchrlichen Untersuchung konnte jedoch festgestellt werden, dass keine Benutzerdaten von 1Password betroffen waren. <\/p>\n
Bereits am 29. September wurden verd\u00e4chtige Aktivit\u00e4ten in der Okta-Instanz bemerkt, die f\u00fcr die Verwaltung der Apps, mit denen die Mitarbeiter von 1Password arbeiten, genutzt wird. 1Password reagierte sofort und beendete die Aktivit\u00e4t, untersuchte den Vorfall und stellte fest, dass weder Mitarbeiterdaten noch andere sensible Systeme gef\u00e4hrdet waren. <\/p>\n
Am sp\u00e4ten Freitag letzter Woche konnte 1Password best\u00e4tigen, dass der Vorfall auf den Einbruch in Oktas Support-Systeme zur\u00fcckzuf\u00fchren ist. Ein Bericht \u00fcber den Vorfall enth\u00e4lt weitere Informationen. <\/p>\n
Der Einbruch wurde aufgedeckt, als das IT-Team eine E-Mail erhielt, in der sie dar\u00fcber informiert wurden, dass sie einen Bericht angefordert h\u00e4tten, der eine Liste aller Administratoren bei Okta enth\u00e4lt. Da jedoch niemand im Team eine solche Anfrage gestellt hatte, wurden sie auf den Vorfall aufmerksam. <\/p>\n
Die verd\u00e4chtigen Aktivit\u00e4ten in der Okta-Umgebung von 1Password wurden von einer IP-Adresse ver\u00fcbt, und die Angreifer erlangten Administratorrechte, um Zugriff zu erhalten. Die Vorgehensweise der Eindringlinge \u00e4hnelte einer bekannten Kampagne, bei der sie Super-Admin-Konten hacken, um den Authentifizierungsprozess zu manipulieren und sekund\u00e4re Identit\u00e4tsanbieter einzurichten. Dadurch k\u00f6nnen sie Nutzerinnen und Nutzer der betroffenen Organisation imitieren. <\/p>\n
Nach der ersten Untersuchung von 1Password gibt es keine Beweise daf\u00fcr, dass die Angreifer auf Systeme au\u00dferhalb der Okta-Umgebung zugegriffen haben. Es wird vermutet, dass die Angreifer begonnen haben, Informationen zu sammeln, um eine weiterentwickelte Attacke durchzuf\u00fchren. <\/p>\n
1Password betont, dass die sofort ergriffenen Ma\u00dfnahmen das Risiko dieses Vorfalls erfolgreich abgewendet haben. Ein Mitarbeiter im IT-Bereich hatte eine Support-Anfrage bei Okta gestellt und daraufhin eine HAR-Datei mithilfe der Google Chrome Entwicklertools zum Debugging erstellt. In dieser Datei waren s\u00e4mtliche Kommunikation zwischen dem Webbrowser und den Okta-Servern enthalten, einschlie\u00dflich vertraulicher Daten wie Session-Cookies. <\/p>\n
Die Taktik der Angreifer bestand darin, auf das Dashboard des IT-Mitarbeiters mittels des Session-Cookies zuzugreifen, was jedoch von Okta blockiert wurde. Anschlie\u00dfend aktualisierten sie einen vorhandenen Identity Provider (IDP), der mit der Google-Produktionsumgebung verkn\u00fcpft war, und aktivierten ihn. Schlie\u00dflich forderten sie einen Bericht an, der eine Liste der administrativen Nutzer enth\u00e4lt. Diese letzte Ma\u00dfnahme f\u00fchrte zur Entdeckung des Vorfalls und zur Ergreifung von Abwehrma\u00dfnahmen. <\/p>\n
Laut Arstechnica wurde jedoch berichtet, dass eine interne Version des Berichts, die einen Tag \u00e4lter als das ver\u00f6ffentlichte PDF war und auf den 18. Oktober datierte, immer noch enthielt, dass die Angreifer Gruppenzuweisungen im Okta-Tenant von 1Password einsehen und andere Aktionen durchf\u00fchren konnten, f\u00fcr die keine Protokolle erstellt wurden. <\/p>\n
Okta hat am letzten Wochenende zugegeben, dass es zu einer Sicherheitsl\u00fccke gekommen ist. Die Hacker hatten f\u00fcr einen Zeitraum von zwei Wochen Zugriff, bevor das Unternehmen den Angriff vollst\u00e4ndig unter Kontrolle bringen konnte. BeyondTrust, eine IT-Sicherheitsfirma, wurde als erstes weiteres Opfer bekannt, nachdem sie am 2. Oktober einen Angriff auf Okta-Administrator-Zug\u00e4nge bemerkt und dem Anbieter gemeldet hatte. <\/p>\n
Erst am vergangenen Donnerstag informierte Okta die betroffenen Kunden dar\u00fcber, dass das Unternehmen einen Sicherheitsvorfall erlebt hatte.<\/p>\n
Schlagw\u00f6rter: Cyberkriminalit\u00e4t + Identit\u00e4ts und Zugangsverwaltung + Zugriffstoken<\/p>\n","protected":false},"excerpt":{"rendered":"
Hacker haben Zugriffstoken des Unternehmens Okta gestohlen und unerlaubt verwendet, wie am Wochenende bekannt wurde. Dadurch waren Kunden von Okta von den Angriffen betroffen. Nun hat auch 1Password zugegeben, zu den Gesch\u00e4digten zu geh\u00f6ren. In einer kurzen Erkl\u00e4rung gab 1Password bekannt, dass das Unternehmen verd\u00e4chtige Vorf\u00e4lle in Bezug auf ihre...<\/p>\n","protected":false},"author":4,"featured_media":652,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-653","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/653","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=653"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/653\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/652"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=653"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=653"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=653"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}