Wachtwoordmanager 1Password zegt 'verdachte activiteit' te hebben opgemerkt op zijn interne Okta-account. Volgens onderzoek van het bedrijf lijken daarbij geen gebruikersgegevens te zijn gestolen. Okta maakte vrijdag melding van een datalek in zijn supportsystemen.
"Op 29 september ontdekten we verdachte activiteit op onze Okta-instance, die we gebruiken om onze apps voor werknemers te beheren", schrijft 1Password-cto Pedro Canahuati. "We hebben de activiteit onmiddellijk beëindigd, onderzocht en geen compromittering van gebruikersgegevens of andere gevoelige systemen gevonden."
1Password zegt samen met Okta, een provider van authenticatiemanagementsoftware, naar de oorzaak van het lek te hebben gezocht. Vorige week vrijdag werd daarbij geconcludeerd dat dit het resultaat was van een hack bij Okta, waarbij hackers toegang kregen tot de supportsystemen van die provider. De hackers kregen toegang tot de Okta-instance van 1Password met adminprivileges, blijkt uit een rapport van 1Password.
Hackers kregen toegang tot het Okta-account van 1Password via een HAR-bestand. Een medewerker van 1Password maakte een dergelijk bestand op verzoek van de Okta-klantenservice. Het bestand bevatte 'al het verkeer' tussen de browser van de medewerker en de Okta-servers, waaronder sessioncookies. Een van die cookies werd gebruikt door hackers om toegang te krijgen tot het Okta-adminportaal van 1Password. Okta erkende vorige week dat onbevoegden toegang kregen tot 'sommige bestanden' die klanten hebben geüpload naar de servers van Okta.
"Op basis van onze eerste beoordeling hebben we geen bewijs dat laat zien dat de threatactor toegang heeft gehad tot systemen buiten Okta", schrijft 1Password. De hackers zouden in eerste instantie 'verkennend' te werk zijn gegaan, met het doel om onopgemerkt te blijven en informatie te verzamelen voor een grotere, geavanceerdere aanval.
De hackers probeerden verschillende acties uit te voeren op het Okta-account van 1Password. Zij probeerden bijvoorbeeld het userdashboard van 1Passwords IT-medewerkers te benaderen, maar dit werd geblokkeerd door Okta. Er werd ook een update doorgevoerd bij een andere identiteitsprovider, die 1Password gebruikt voor zijn Google-omgeving, waarna geprobeerd werd deze te gebruiken. De threatactor vroeg ook een overzicht van admingebruikers van 1Password op bij Okta. Na die laatste actie werd een e-mail gestuurd naar een IT-medewerker van 1Password, waarna het securityteam van de wachtwoordmanager op de hoogte werd gesteld en de hackpoging werd opgemerkt.