โซลูชันสำหรับการจัดการรหัสผ่านยอดนิยม 1Password กล่าวว่าตรวจพบพฤติกรรมที่น่าสงสัยใน Okta Instance เมื่อวันที่ 29 กันยายนหลังจากถูกระเมิดการเข้าถึงระบบ Okta's Support System และ 1Password ย้ำว่าไม่มีการเข้าถึงข้อมูลผู้ใช้ของ 1Password แต่อย่างใด
Pedro Canahuati CTO ของ 1Password กล่าวว่า "เรายุติกิจกรรมทันที วิเคราะห์ตรวจสอบ และพบว่าไม่มีการ compromise ข้อมูลผู้ใช้หรือระบบที่ใดๆ ทั้งระบบของลูกค้าและระบบของพนักงาน"
การละเมิดดังกล่าวเกิดขึ้นโดยใช้คุกกี้เซสชันหลังจากที่สมาชิกของทีมไอทีแชร์ไฟล์ HAR กับ Okta Support โดยผู้ไม่ประสงค์ดีดำเนินการตามชุดคำสั่งดังนี้
1Password กล่าวว่าได้รับการแจ้งเตือนถึงกิจกรรมที่เป็นอันตราย หลังจากที่สมาชิกทีมไอทีได้รับอีเมล "Requested"เกี่ยวกับรายงานผู้ใช้กับผู้ดูแลระบบ
1Password กล่าวเพิ่มเติมว่าได้ดำเนินการหลายขั้นตอนเพื่อเสริมความปลอดภัยโดยการปฏิเสธการเข้าสู่ระบบจาก IDP ที่ไม่ใช่ Okta, ลดเวลาเซสชันสำหรับผู้ใช้ที่เป็นผู้ดูแลระบบ, กฎการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ที่เข้มงวดมากขึ้นสำหรับผู้ดูแลระบบ และลดจำนวนผู้ดูแลระบบที่มีสิทธิ์สูง
ซึ่งยืนยันด้วยข้อมูลจาก Okta Support พบว่าเหตุการณ์นี้มีความคล้ายคลึงกัน ซึ่งผู้บุกรุกจะโจมตีบัญชีผู้ดูแลระบบที่มีสิทธิ์สูง จากนั้นพยายามจัดการด้านการตรวจสอบสิทธิ์ และสร้างผู้ให้บริการสำรองเพื่อแอบอ้างเป็นผู้ใช้ภายในองค์กรที่ได้รับผลกระทบ"
1Password กล่าวเพิ่มเติมว่า "จากพฤติกรรมที่พบชี้ให้เห็นว่าพวกเขาจะการเก็บข้อมูลเบื้องต้นโดยมีเจตนาที่จะให้ไม่ถูกตรวจจับเพื่อจุดประสงค์ในการรวบรวมข้อมูลสำหรับการโจมตีที่ซับซ้อนยิ่งขึ้น"
Ref 1Password Detects Suspicious Activity Following Okta Support Breach
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว