1Password detecta "actividad sospechosa" en su cuenta interna de Okta

 (arstechnica.com)
1 puntos por GN⁺ 2023-10-25 | 1 comentarios | Compartir por WhatsApp
  • 1Password, el gestor de contraseñas ampliamente utilizado, detectó actividad sospechosa en su propia cuenta de Okta.
  • Esta actividad sospechosa fue detectada el 29 de septiembre y se detuvo de inmediato.
  • Pedro Canahuati, CTO de 1Password, confirmó que los datos de los usuarios y los sistemas sensibles no fueron comprometidos.
  • La empresa está trabajando con Okta para determinar cómo un atacante desconocido obtuvo acceso a la cuenta.
  • Se confirmó que esta intrusión fue resultado de la brecha reportada por Okta en su sistema de administración de soporte al cliente.
  • El atacante obtuvo archivos HTTP Archive (HAR), que incluyen información sensible como cookies de autenticación y tokens de sesión.
  • 1Password es el segundo caso conocido entre los clientes de Okta que fueron objetivo en ataques posteriores.
  • El atacante también accedió al tenant de Okta de 1Password, que se usa para administrar el acceso y los permisos del sistema.
  • El atacante actualizó el IdP (proveedor de identidad) utilizado para autenticar el entorno de producción alojado por Google.
  • Desde entonces, 1Password cambió la configuración de su tenant de Okta para reforzar la seguridad.
  • La brecha de Okta forma parte de una serie de ataques contra grandes empresas que proveen software o servicios a clientes de gran escala.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-10-25
Opiniones de Hacker News
  • Externalizar el inicio de sesión único (SSO) no se trata solo de la facilidad técnica o la capacidad, sino de garantizar a los clientes que un proveedor confiable lo está gestionando.
  • La transición de 1Password desde almacenamiento local y fuera de línea hacia almacenamiento basado en la nube y un modelo de suscripción amplificó las preocupaciones sobre la seguridad de los datos.
  • Incluso siguiendo las mejores prácticas de diseño, cuando la complejidad y la visibilidad colapsan, eso puede crear vulnerabilidades importantes.
  • El incidente de 1Password podría hacer que las empresas cambien a YubiKeys para 2FA, ya que cualquier cosa por debajo de FIDO2 se considera débil.
  • Dado el historial de brechas de seguridad, algunos usuarios cuestionan elegir a Okta como IDP.
  • La culpa del incidente es de Okta, por pedir sesiones HAR codificadas en texto plano para resolver problemas sin el saneamiento adecuado.
  • Algunos usuarios prefieren administradores de contraseñas autoalojados y con sincronización propia en lugar de servicios en línea por razones de seguridad.
  • Se necesitan mejores prácticas e herramientas inteligentes para apps que monitorean comportamientos sospechosos.
  • 1Password es el segundo cliente conocido de Okta que fue objetivo en ataques posteriores, después de que Cloudflare también fuera víctima.
  • A pesar de la posible intrusión, las contraseñas de los usuarios deberían estar seguras porque están cifradas tanto en reposo como en tránsito.