โซลูชันสำหรับการจัดการรหัสผ่านยอดนิยม 1Password กล่าวว่าตรวจพบพฤติกรรมที่น่าสงสัยใน Okta Instance เมื่อวันที่ 29 กันยายนหลังจากถูกระเมิดการเข้าถึงระบบ Okta's Support System และ 1Password ย้ำว่าไม่มีการเข้าถึงข้อมูลผู้ใช้ของ 1Password แต่อย่างใด

Pedro Canahuati CTO ของ 1Password กล่าวว่า "เรายุติกิจกรรมทันที วิเคราะห์ตรวจสอบ และพบว่าไม่มีการ compromise ข้อมูลผู้ใช้หรือระบบที่ใดๆ ทั้งระบบของลูกค้าและระบบของพนักงาน"

การละเมิดดังกล่าวเกิดขึ้นโดยใช้คุกกี้เซสชันหลังจากที่สมาชิกของทีมไอทีแชร์ไฟล์ HAR กับ Okta Support โดยผู้ไม่ประสงค์ดีดำเนินการตามชุดคำสั่งดังนี้

• พยายามเข้าถึงแดชบอร์ดผู้ใช้ของสมาชิกทีมไอที แต่ถูกบล็อกโดย Okta
• อัปเดต IDP ที่มีอยู่ซึ่งเชื่อมโยงกับ Google production environment ของ 1Password
• เปิดใช้งาน (Activate) IDP
• ขอรายงานผู้ใช้ที่เป็นผู้ดูแลระบบ

1Password กล่าวว่าได้รับการแจ้งเตือนถึงกิจกรรมที่เป็นอันตราย หลังจากที่สมาชิกทีมไอทีได้รับอีเมล "Requested"เกี่ยวกับรายงานผู้ใช้กับผู้ดูแลระบบ
1Password กล่าวเพิ่มเติมว่าได้ดำเนินการหลายขั้นตอนเพื่อเสริมความปลอดภัยโดยการปฏิเสธการเข้าสู่ระบบจาก IDP ที่ไม่ใช่ Okta, ลดเวลาเซสชันสำหรับผู้ใช้ที่เป็นผู้ดูแลระบบ, กฎการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ที่เข้มงวดมากขึ้นสำหรับผู้ดูแลระบบ และลดจำนวนผู้ดูแลระบบที่มีสิทธิ์สูง

ซึ่งยืนยันด้วยข้อมูลจาก Okta Support พบว่าเหตุการณ์นี้มีความคล้ายคลึงกัน ซึ่งผู้บุกรุกจะโจมตีบัญชีผู้ดูแลระบบที่มีสิทธิ์สูง จากนั้นพยายามจัดการด้านการตรวจสอบสิทธิ์ และสร้างผู้ให้บริการสำรองเพื่อแอบอ้างเป็นผู้ใช้ภายในองค์กรที่ได้รับผลกระทบ"

1Password กล่าวเพิ่มเติมว่า "จากพฤติกรรมที่พบชี้ให้เห็นว่าพวกเขาจะการเก็บข้อมูลเบื้องต้นโดยมีเจตนาที่จะให้ไม่ถูกตรวจจับเพื่อจุดประสงค์ในการรวบรวมข้อมูลสำหรับการโจมตีที่ซับซ้อนยิ่งขึ้น"

Ref 1Password Detects Suspicious Activity Following Okta Support Breach