流行密码管理器1Password遭黑客攻击

本周一，身份软件巨头Okta的客户支持系统被黑客使用被盗凭证入侵，导致Okta客户上传的Cookie和会话令牌等敏感数据泄露，被攻击者利用入侵客户网络。该事件影响了大约1%的Okta客户群，已经披露的知名客户包括BeyondTrust和Cloudflare，以及流行的密码管理方案1Password。

1Password是拥有超过10万家企业用户的流行密码管理平台，本周一1Password披露，在Okta客户支持系统遭到入侵后，它于9月29日在其 Okta 实例上检测到可疑活动，但1Password重申没有用户和员工数据被访问。

1Password 表示：“我们看到的活动表明，他们进行了初步侦察，目的是不被发现，以便收集信息以进行更复杂的攻击。”

1Password 首席技术官 Pedro Canahuati在周一的通知中表示：“我们立即终止了该攻击活动，进行了调查，发现用户数据或其他敏感系统（无论是面向员工还是面向用户）都没有受到损害。”

Okta 经常要求客户上传 HTTP 存档 (HAR) 文件以解决客户问题。但是，这些 HAR 文件包含敏感数据，包括可用于冒充有效 Okta 客户的身份验证 cookie 和会话令牌。

据称，入侵Okta客户支持系统的攻击者成功窃取了1Password的 IT团队成员与 Okta 支持人员共享 HAR 文件后泄露的会话 cookie，并执行了以下一组操作：

• 尝试访问 IT 团队成员的用户仪表板（但被 Okta 阻止）
• 更新了与​​1Password的 Google 生产环境相关的现有 IDP
• 激活 IDP
• 要求提供管理员列表报告

1Password表示，在IT团队成员收到请求管理员列表报告的电子邮件后，触发了有关恶意活动的警报。

1Password 随后采取了一系列措施来增强安全性，包括：

• 轮换所有IT员工的凭据并修改了Okta配置
• 拒绝非 Okta IDP 登录
• 减少管理用户的会话时间
• 更严格的管理员多重身份验证 (MFA) 规则
• 减少超级管理员的数量

1Password 表示：“Okta方面证实，该事件与已知活动有相似之处，攻击者将入侵超级管理员帐户，然后尝试操纵身份验证流程，添加辅助身份提供商来冒充受影响组织内的用户。”

值得注意的是，1Password事件调查中披露的一些细节引发了人们对1Password员工安全意识和安全实践的担忧，例如：

• 泄露令牌的HAR文件是1Password员工在公司活动后用酒店WiFi上传的（不过并没有证据显示该数据在WiFi网络泄露或截获）
• 调查人员使用免费版Malwarebytes扫描涉事员工的Mac笔记本电脑并表示没有发现任何可疑活动或恶意软件。
• IT团队轮换了所有登录凭证，并强制使用Yubikey硬件密钥MFA登录。（1Password管理员此前未强制使用硬件密钥登录）

而且，1Password安全事件的调查结果仍存在一些令人困惑的地方，例如Okta 声称其日志显示，1Password员工的HAR文件在其安全事件发生后才被攻击者访问。

这意味着1Password的员工令牌有可能在此前的安全事件中已经泄露，因为Okta此前曾警告过有攻击者为获取高级管理员权限而精心策划了针对Okta的社会工程攻击，而且过去两年中Okta接连发生多起安全事件：

• 2022年Okta 披露Lapsus$ 数据勒索组织于同年1月获得对其管理控制台的访问权限后，其部分客户数据被泄露。

• 此后Okta通过短信发送给客户的一次性密码 (OTP) 也被威胁组织Scatter Swine（又名 0ktapus）利用社会工程攻击窃取，该组织于 2022 年 8 月入侵了云通信公司 Twilio。

• 2022年12月，Okta在其GitHub存储库遭到黑客攻击后披露了自己的源代码被盗事件。

• 今年9月，Okta 旗下的身份验证服务提供商 Auth0透露，一些较旧的源代码存储库被使用未知方法从其环境中窃取。

目前尚不清楚最新攻击是否与Scattered Spider（又名 0ktapus、Scatter Swine 或 UNC3944）有任何联系，后者有使用社会工程攻击针对 Okta 以获得提升权限的记录。

最后，有安全专家指责Okta的事件缓解措施不力。例如，HAR作为结构化文档，其数据脱敏没有任何技术难度，但是Okta推荐的缓解措施居然是要求客户完成清理工作再上传。此外，该事件的检测和响应措施也严重依赖BeyondTrust和Cloudflare这两个受害客户。

参考链接：

https://blog.1password.com/files/okta-incident/okta-incident-report.pdf

https://thehackernews.com/2023/10/1password-detects-suspicious-activity.html