La reconocida solución de gestión de contraseñas, 1Password, afirmó haber detectado actividad sospechosa en su instancia de Okta el 29 de septiembre, tras una brecha en el sistema de soporte. Sin embargo, reiteró que no se accedió a los datos de los usuarios. «Inmediatamente terminamos la actividad, investigamos y no encontramos ningún compromiso de los datos del usuario ni de otros sistemas sensibles, ya sean para empleados o usuarios», dijo Pedro Canahuati, CTO de 1Password, en un aviso el lunes.
La brecha de seguridad en 1Password
Se dice que la brecha ocurrió utilizando una cookie de sesión después de que un miembro del equipo de TI compartiera un archivo HAR con Soporte de Okta. El actor de la amenaza realizó el siguiente conjunto de acciones:
1Password aseguró que fue alertada de la actividad maliciosa después de que el miembro del equipo de TI recibiera un correo electrónico sobre el informe de usuario administrativo «solicitado».
Medidas de seguridad tomadas por 1Password
1Password dijo además que desde entonces ha tomado una serie de medidas para reforzar la seguridad, como negar los inicios de sesión desde IDP que no sean de Okta, reducir los tiempos de sesión para los usuarios administrativos, normas más estrictas de autenticación multifactorial (MFA) para los administradores y disminuir el número de superadministradores.
«En colaboración con el soporte de Okta, se estableció que este incidente comparte similitudes con una campaña conocida en la que los actores de amenazas comprometen las cuentas de superadministradores, luego intentan manipular los flujos de autenticación y establecer un proveedor de identidad secundario para suplantar a los usuarios dentro de la organización afectada», dijo 1Password.
Advertencia sobre ataques de ingeniería social
Cabe señalar que el proveedor de servicios de identidad ya había advertido sobre ataques de ingeniería social orquestados por actores de amenazas para obtener permisos de administrador elevados.
Posible conexión con Scattered Spider
Al momento de escribir, no se sabe si los ataques tienen alguna conexión con Scattered Spider (también conocido como 0ktapus, Scatter Swine o UNC3944), que tiene un historial de ataques a Okta utilizando ataques de ingeniería social para obtener privilegios elevados.
Impacto en la base de clientes de Okta
El desarrollo se produce días después de que Okta revelara que actores de amenazas no identificados aprovecharon una credencial robada para entrar en su sistema de gestión de casos de soporte y robar archivos HAR sensibles que pueden ser utilizados para infiltrarse en las redes de sus clientes.
La compañía le dijo a The Hacker News que el evento impactó alrededor del 1 por ciento de su base de clientes. Algunos de los otros clientes que se vieron afectados por el incidente incluyen BeyondTrust y Cloudflare.
«La actividad que vimos sugirió que realizaron un reconocimiento inicial con la intención de permanecer sin ser detectados con el propósito de recopilar información para un ataque más sofisticado», dijo 1Password.
