1Password détecte une « activité suspecte » dans son compte Okta interne

 (arstechnica.com)
1 points par GN⁺ 2023-10-25 | 1 commentaires | Partager sur WhatsApp
  • 1Password, un gestionnaire de mots de passe largement utilisé, a détecté une activité suspecte dans son propre compte Okta.
  • Cette activité suspecte a été détectée le 29 septembre et immédiatement interrompue.
  • Le CTO de 1Password, Pedro Canahuati, a confirmé qu'aucune donnée utilisateur ni aucun système sensible n'avaient été compromis.
  • L'entreprise collabore avec Okta pour déterminer comment un attaquant inconnu a pu accéder au compte.
  • Il a été confirmé que cette compromission résulte de la violation signalée par Okta dans son système de gestion du support client.
  • L'attaquant a obtenu des fichiers HTTP Archive (HAR) contenant des informations sensibles, comme des cookies d'authentification et des jetons de session.
  • 1Password est le deuxième cas connu parmi les clients d'Okta visés lors d'attaques ultérieures.
  • L'attaquant a également accédé au tenant Okta de 1Password, utilisé pour gérer l'accès et les autorisations aux systèmes.
  • L'attaquant a mis à jour l'IDP (fournisseur d'identité) utilisé pour authentifier l'environnement de production fourni par Google.
  • 1Password a ensuite modifié les paramètres de configuration de son tenant Okta afin de renforcer la sécurité.
  • La compromission d'Okta fait partie d'une série d'attaques visant de grandes entreprises qui fournissent des logiciels ou des services à de vastes clientèles.

À lire aussi

1 commentaires

 
GN⁺ 2023-10-25
Avis sur Hacker News
  • L’externalisation du single sign-on (SSO) ne concerne pas seulement la facilité technique ou les capacités, mais aussi la garantie donnée aux clients qu’un fournisseur digne de confiance en assure la gestion.
  • La transition de 1Password d’un stockage local hors ligne vers un stockage cloud avec un modèle par abonnement a amplifié les inquiétudes concernant la sécurité des données.
  • Même en suivant les meilleures pratiques de conception, l’effondrement de la complexité et de la visibilité peut entraîner des vulnérabilités importantes.
  • L’incident 1Password pourrait pousser les entreprises à passer aux YubiKeys pour la 2FA, puisque tout ce qui est inférieur à FIDO2 est considéré comme faible.
  • Compte tenu de son historique de failles de sécurité, certains utilisateurs s’interrogent sur le choix d’Okta comme IDP.
  • La faute dans cet incident revient à Okta, pour avoir demandé des sessions HAR encodées en clair afin de résoudre le problème sans assainissement approprié.
  • Certains utilisateurs préfèrent des gestionnaires de mots de passe auto-hébergés et auto-synchronisés aux services en ligne pour des raisons de sécurité.
  • Il faut de meilleures pratiques et des outils intelligents pour surveiller les comportements suspects dans les applications.
  • 1Password est le deuxième client Okta connu à avoir été visé dans cette attaque de suivi, après que Cloudflare a également été victime.
  • Malgré une compromission potentielle, les mots de passe des utilisateurs devraient rester sûrs, car ils sont chiffrés au repos comme en transit.