Wer sich näher mit der Welt der Informationssicherheit beschäftigt, wird sicher auch vom jüngsten Einbruch in das Supportsystem von Okta gehört haben. Jetzt berichtet 1Password, der beliebte Passwortmanager mit Millionen von Usern, dass Bedrohungsakteure auf das interne Okta-Verwaltungskonto zugegriffen haben.
„Am 29. September entdeckten wir verdächtige Aktivitäten auf unserer Okta-Instanz, die wir für die Verwaltung unserer Mitarbeiter-Apps verwenden. Wir haben die Aktivität sofort beendet, sie untersucht und keine Kompromittierung von Nutzerdaten oder anderen sensiblen Systemen, weder mitarbeiter- noch nutzerorientiert, festgestellt.“
So berichtet Pedro Canahuati, CTO von 1Password, in einem kurzen Blogbeitrag (https://blog.1password.com/okta-incident/). Am vergangenen Freitag hatte Okta bekannt gegeben, dass böswillige Akteure mit gestohlenen Zugangsdaten auf das Support Case Management System von Okta zugegriffen haben. Das Unternehmen ist spezialisiert auf Identitäts- und Zugriffsmanagement (IAM) für große Unternehmen wie Peloton, Slack, Zoom und GitHub.
Im Rahmen des Support-Prozesses von Okta muss die Geschäftskundschaft ein HTTP-Archiv, auch HAR-Datei genannt, erstellen, das eine Aufzeichnung des gesamten Datenverkehrs zwischen dem Browser und den Okta-Servern enthält. Dazu gehören sensible Informationen wie Sitzungs-Tokens und Authentifizierungs-Cookies. Nach Angaben von 1Password erstellte ein Mitglied des IT-Teams eine HAR-Datei und lud sie in das Okta-Supportportal hoch. Danach, am 29. September, griff ein Bedrohungsakteur mit derselben Okta-Authentifizierungssitzung aus der HAR-Datei auf das Okta-Verwaltungsportal von 1Password zu. In einem internen Sicherheitsbericht von 1Password heißt es:
„Es wurde bestätigt, dass die generierte HAR-Datei die notwendigen Informationen für einen Angreifer enthielt, um die Sitzung des Benutzers zu kapern. Wir haben keine Beweise dafür, dass der Angreifer auf Systeme außerhalb von Okta zugegriffen hat. Die Aktivitäten, die wir gesehen haben, deuten darauf hin, dass sie eine erste Erkundung mit der Absicht durchgeführt haben, unentdeckt zu bleiben, um Informationen für einen anspruchsvolleren Angriff zu sammeln.“
Es gilt klarzustellen: Okta ist ein geschäftsorientiertes Tool, das Systeme verwendet, die völlig getrennt von Benutzerdaten sind. Letztere sind vollständig verschlüsselt, zum Entschlüsseln wird der Hauptschlüssel und das Passwort des Benutzers bzw. der Benutzerin benötigt. Trotzdem ist es wichtig, auch die kleinsten Verstöße ernst zu nehmen: Sie werden oft dazu genutzt, um eine Basis zu schaffen, die dann für weitergehende Angriffe genutzt werden kann.
1Password hat inzwischen die Sitzungen gelöscht und die Anmeldeinformationen für die eigenen administrativen Okta-User ausgetauscht. Das Unternehmen nimmt außerdem mehrere Änderungen an seiner Okta-Konfiguration vor, darunter die Verweigerung von Anmeldungen von IDPs, die nicht zu Okta gehören, die Reduzierung der Sitzungszeiten für administrative Benutzer bzw. Benutzerinnen, strengere Regeln für MFA für administrative Benutzer und die Reduzierung der Anzahl der Superadministratoren.