1Password ตรวจพบ "กิจกรรมน่าสงสัย" ในบัญชี Okta ภายใน

 (arstechnica.com)
1 คะแนน โดย GN⁺ 2023-10-25 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • 1Password ผู้จัดการรหัสผ่านที่ใช้งานกันอย่างแพร่หลาย ตรวจพบกิจกรรมน่าสงสัยในบัญชี Okta ของตนเอง
  • กิจกรรมที่น่าสงสัยนี้ถูกตรวจพบเมื่อวันที่ 29 กันยายน และถูกยับยั้งได้ทันที
  • Pedro Canahuati CTO ของ 1Password ยืนยันว่าไม่มีข้อมูลผู้ใช้หรือระบบที่มีความอ่อนไหวถูกเจาะ
  • บริษัทกำลังทำงานร่วมกับ Okta เพื่อตรวจสอบว่าผู้โจมตีที่ยังไม่ทราบตัวเข้าถึงบัญชีได้อย่างไร
  • การละเมิดครั้งนี้ได้รับการยืนยันว่าเป็นผลจากเหตุละเมิดที่ Okta รายงานในระบบจัดการฝ่ายสนับสนุนลูกค้า
  • ผู้โจมตีได้ครอบครองไฟล์ HTTP archive (HAR) ซึ่งมีข้อมูลอ่อนไหว เช่น คุกกี้ยืนยันตัวตนและโทเค็นเซสชัน
  • 1Password เป็นกรณีที่ทราบเป็นรายที่สองในบรรดาลูกค้า Okta ที่ตกเป็นเป้าหมายในการโจมตีต่อเนื่อง
  • ผู้โจมตียังเข้าถึง Okta tenant ของ 1Password ที่ใช้จัดการสิทธิ์การเข้าถึงและสิทธิ์ต่างๆ ของระบบได้ด้วย
  • ผู้โจมตีได้อัปเดต IDP (ผู้ให้บริการยืนยันตัวตน) ที่ใช้ยืนยันตัวตนกับสภาพแวดล้อมโปรดักชันซึ่งให้บริการโดย Google
  • หลังจากนั้น 1Password ได้เปลี่ยนการตั้งค่าคอนฟิกของ Okta tenant เพื่อเสริมความปลอดภัย
  • เหตุละเมิดของ Okta เป็นส่วนหนึ่งของชุดการโจมตีต่อเนื่องที่มุ่งเป้าไปยังบริษัทขนาดใหญ่ที่ให้ซอฟต์แวร์หรือบริการแก่ลูกค้ารายใหญ่

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-10-25
ความเห็นจาก Hacker News
  • การเอาต์ซอร์สการล็อกอินแบบครั้งเดียว (SSO) ไม่ได้เกี่ยวกับแค่ความสะดวกทางเทคนิคหรือความสามารถเท่านั้น แต่ยังเกี่ยวกับการทำให้ลูกค้ามั่นใจว่ามีผู้ให้บริการที่เชื่อถือได้เป็นผู้ดูแลจัดการ
  • การเปลี่ยนผ่านของ 1Password จากการจัดเก็บแบบออฟไลน์ในเครื่อง ไปสู่การจัดเก็บบนคลาวด์และโมเดลสมัครสมาชิก ได้ขยายความกังวลเกี่ยวกับความปลอดภัยของข้อมูล
  • การที่ความซับซ้อนและความสามารถในการมองเห็นปัญหาพังทลายลง แม้จะปฏิบัติตามแนวทางการออกแบบที่ดีที่สุด ก็อาจก่อให้เกิดช่องโหว่สำคัญได้
  • เหตุการณ์ของ 1Password อาจทำให้บริษัทต่าง ๆ หันไปใช้ Yubikeys สำหรับ 2FA มากขึ้น เพราะสิ่งที่ต่ำกว่า FIDO2 ถือว่าอ่อนแอ
  • เมื่อพิจารณาจากประวัติการละเมิดความปลอดภัย ผู้ใช้บางส่วนจึงตั้งคำถามกับการเลือก Okta เป็น IDP
  • ความผิดของเหตุการณ์นี้อยู่ที่ Okta เพราะร้องขอ HAR session ที่เข้ารหัสแบบข้อความล้วนเพื่อแก้ปัญหา โดยไม่มีการทำให้ข้อมูลปลอดภัยอย่างเหมาะสม
  • ผู้ใช้บางส่วนชอบตัวจัดการรหัสผ่านแบบโฮสต์เองและซิงก์เอง มากกว่าบริการออนไลน์ ด้วยเหตุผลด้านความปลอดภัย
  • จำเป็นต้องมีแนวปฏิบัติที่ดีที่สุดและเครื่องมืออัจฉริยะสำหรับแอปที่ใช้ติดตามพฤติกรรมที่น่าสงสัย
  • 1Password เป็นลูกค้า Okta รายที่สองที่ทราบกันว่าตกเป็นเป้าหมายในการโจมตีต่อเนื่อง ซึ่ง Cloudflare ก็เป็นเหยื่อด้วยเช่นกัน
  • แม้อาจมีการเจาะระบบที่เป็นไปได้ แต่รหัสผ่านของผู้ใช้ก็ควรยังปลอดภัย เพราะมีการเข้ารหัสทั้งขณะจัดเก็บและขณะส่งข้อมูล