Carregando...

1Password revela pequena violação de dados do Okta que não envolve seus dados pessoais ou senhas

Os aplicativos gerenciadores de senhas são alvos de alta prioridade para hackers que buscam acessar contas de usuários e combinações de senhas. 1Password é um dos aplicativos de gerenciamento mais populares, o que o torna um excelente candidato para esse tipo de ataque. A empresa acaba de divulgar uma pequena violação que afetou sua conta Okta. Mas o 1Password deixou claro que nenhum dado de usuário ou senha foi acessado por terceiros que obtiveram acesso temporário ao sistema de suporte.

Além disso, a violação de dados parece ter ocorrido depois que o sistema de suporte da Okta foi hackeado.

A violação do 1Password

1Password divulgou o hack do Okta em 23 de outubro, quase um mês após detectá-lo:

Em 29 de setembro, detectamos atividades suspeitas em nossa instância do Okta, que usamos para gerenciar nossos aplicativos voltados para funcionários. Encerrámos imediatamente a atividade, investigámos e não encontrámos qualquer comprometimento dos dados dos utilizadores ou de outros sistemas sensíveis, tanto para os funcionários como para os utilizadores.

Okta anunciou o hack que impactou seu sistema de suporte em 20 de outubro.

Se você estiver usando um aplicativo gerenciador de senhas, ficará feliz em ver como o 1Password lidou com o assunto, incluindo as divulgações. Compare isso com o enorme hack do LastPass do ano passado, que agora está vinculado a uma série multimilionária de roubos de criptografia. Os invasores conseguiram roubar cofres de senhas criptografadas dos usuários finais.

Aplicativo LastPass
Fonte da imagem do aplicativo LastPass: LastPass

O LastPass fez um péssimo trabalho ao divulgar o ataque em tempo hábil. Isso incluiu a emissão de um aviso aos usuários poucos dias antes do Natal do ano passado.

Voltando ao 1Password, a empresa explicou com mais detalhes o que aconteceu no dia 29 de setembro, quando ocorreu a violação:

Em 29 de setembro de 2023, um membro da equipe de TI recebeu uma notificação inesperada por email sugerindo que eles haviam iniciado um relatório do Okta contendo uma lista de administradores. Eles reconheceram que não haviam iniciado o relatório administrativo e alertaram nossa equipe de resposta a incidentes de segurança. Investigações preliminares revelaram que a atividade em nosso ambiente Okta foi originada por um endereço IP suspeito e foi posteriormente confirmado que um agente de ameaça havia acessado nosso locatário Okta com privilégios administrativos.

“A atividade que vimos sugeria que eles conduziram um reconhecimento inicial com a intenção de permanecerem indetectados com o propósito de coletar informações para um ataque mais sofisticado”, escreveu 1Password.

A culpa é da violação separada do Okta

O desenvolvedor 1Password em questão “estava envolvido com o suporte do Okta e, a pedido deles, criou um arquivo HAR a partir das ferramentas de desenvolvimento do Chrome e carregou-o no portal de suporte do Okta”, explicou a empresa. “Este arquivo HAR contém um registro de todo o tráfego entre o navegador e os servidores Okta, incluindo informações confidenciais, como cookies de sessão.”

O invasor desconhecido usou a mesma sessão do Okta para acessar o portal administrativo do Okta. 1Password detalhou as ações do hacker da seguinte forma:

– Tentou acessar o painel de usuário do membro da equipe de TI, mas foi bloqueado pela Okta.
– Atualizado um IDP existente vinculado ao nosso ambiente de produção do Google.
– Ativou o IDP.
– Solicitou relatório de usuários administrativos.

Essa última ação alertou o funcionário e gerou uma investigação. O invasor tentou novamente usar o sistema Okta do 1Password, mas falhou.

Teclado MacBook Air de 15 polegadas
Teclado MacBook Air de 15 polegadas. Fonte da imagem: Christian de Looper para BGR

Curiosamente, o 1Password detalha como o funcionário interagiu com o sistema Okta antes do ataque:

O arquivo HAR foi criado no laptop macOS do membro da equipe e carregado via WiFi fornecido pelo hotel, pois o evento ocorreu no final de um evento da empresa. Com base na análise de como o arquivo foi criado e carregado, no uso de TLS e HSTS pela Okta e no uso anterior do mesmo navegador para acessar o Okta, acredita-se que não houve janela na qual esses dados pudessem ter sido expostos ao Rede WiFi ou de outra forma sujeita a interceptação.

1Password desconectou o MacBook da web e o inspecionou. A principal teoria para a violação de dados foi o uso de malware ou um comprometimento diferente. Uma verificação com a versão gratuita do Malwarebytes não revelou um programa possivelmente malicioso usado para atacar o sistema Okta.

O que você precisa fazer

O anúncio do incidente de segurança do próprio Okta explicou posteriormente como os hackers atacaram o arquivo HAR. O compromisso inicial não foi através do Mac do desenvolvedor.

A 1Password também observou em seu relatório de incidente que tomou outras medidas para aumentar a segurança do Okta.

Se você é usuário do 1Password, não precisa fazer nada. Sua senha e cofres estão seguros. O que você pode fazer periodicamente, independentemente dos hacks de dados que possam impactar essas empresas, é alterar as senhas dos seus serviços. Pelo menos os mais sensíveis.