Kamso Oguejiofor-Abugu
Bijgewerkt op: 25 oktober 2023 
Bij een onlangs bekendgemaakt beveiligingsincident heeft 1Password verdachte activiteit op zijn Okta-instantie gedetecteerd die verband houdt met het Okta-ondersteuningssysteemincident. Op 29 september 2023 ontving een lid van het IT-team van Okta een verdachte e-mail waarin werd aangegeven dat ze een rapport hadden ingediend over Okta-beheerdersaccounts - een actie die ze niet hadden uitgevoerd. Gealarmeerd waarschuwden ze het responsteam voor beveiligingsincidenten van het bedrijf.
"Uit voorlopig onderzoek bleek dat activiteit in onze Okta-omgeving afkomstig was van een verdacht IP-adres en later werd bevestigd dat een bedreigingsacteur toegang had gehad tot onze Okta-tenant met beheerdersrechten", aldus het beveiligingsincidentrapport van 1Passwsord.
Deze illegale activiteit vertoont overeenkomsten met een bekend cyberaanvalpatroon waarbij aanvallers hoofdbeheerdersaccounts compromitteren om met authenticatiestromen te knoeien en zich voor te doen als gebruikers van de getroffen organisatie.
Met name leek de aanvankelijke bedoeling van de aanvaller informatieverkenning te zijn, mogelijk als voorbereiding op een meer geavanceerde aanval. Als zodanig is er “geen bewijs dat bewijst dat de acteur toegang heeft gehad tot systemen buiten Okta.”
Volgens het rapport kreeg de aanvaller toegang tot het administratieve portaal van Okta via een sessie die was geïnitieerd door het IT-teamlid om een HAR-bestand te maken (een record van al het verkeer tussen een browser en Okta-servers). De aanvaller probeerde verschillende acties uit, waaronder het activeren van een identiteitsprovider (IDP) en het opvragen van een beheerdersrapport, wat leidde tot de e-mailmelding aan het IT-teamlid.
“Het HAR-bestand is aangemaakt op de macOS-laptop van het teamlid en geüpload via WiFi van het hotel, aangezien deze gebeurtenis plaatsvond aan het einde van een bedrijfsevenement”, aldus het rapport. “Gebaseerd op een analyse van hoe het bestand is gemaakt en geüpload, Okta’s gebruik van TLS en HSTS en het eerdere gebruik van dezelfde browser om toegang te krijgen tot Okta, wordt aangenomen dat er geen venster was waarin deze gegevens konden worden blootgesteld aan het WiFi-netwerk, of anderszins onderworpen zijn aan onderschepping.”
Als reactie op de inbreuk zijn uitgebreide beveiligingsupdates geïnitieerd, waaronder het weigeren van logins van niet-Okta IDP's, strengere Multi-Factor Authentication (MFA)-regels voor administratieve gebruikers en kortere sessietijden.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.safetydetectives.com/news/security-breach-at-okta-incident-highlights-need-for-enhanced-protocols/
