Jika Anda mengawasi dunia keamanan informasi, Anda pasti tahu bahwa pelanggaran sistem pendukung Okta baru-baru ini menjadi perbincangan. Kini 1Password, pengelola kata sandi populer yang dipercaya oleh jutaan orang dan lebih dari 100.000 bisnis, melaporkan bahwa pelaku ancaman telah mengakses akun manajemen internal Okta.
“Pada tanggal 29 September, kami mendeteksi aktivitas mencurigakan di instans Okta yang kami gunakan untuk mengelola aplikasi yang berhubungan dengan karyawan,” CTO 1Password Pedro Canahuati membagikan dalam postingan blog singkat. “Kami segera menghentikan aktivitas tersebut, menyelidiki, dan tidak menemukan adanya kompromi terhadap data pengguna atau sistem sensitif lainnya, baik yang berhubungan dengan karyawan maupun yang berhubungan dengan pengguna.”
Jumat lalu, Okta mengungkapkan bahwa pelaku jahat menggunakan kredensial curian untuk mengakses sistem manajemen kasus dukungan Okta. Perusahaan ini berspesialisasi dalam layanan manajemen identitas dan akses (IAM) untuk pengguna berat seperti Peloton, Slack, Zoom, dan GitHub.
Sebagai bagian dari proses dukungan Okta, pelanggan bisnis diharuskan membuat arsip HTTP, juga dikenal sebagai HAR, file yang berisi catatan semua lalu lintas yang dikirim antara browser dan server Okta. Ini termasuk informasi sensitif seperti token sesi dan cookie autentikasi.
Menurut 1Password, anggota tim IT-nya membuat file HAR dan mengunggahnya ke Portal Dukungan Okta. Setelah itu, pada tanggal 29 September, pelaku ancaman menggunakan sesi otentikasi Okta yang sama dari file HAR mengakses portal administratif Okta 1Password.
“Telah dikonfirmasi bahwa file HAR yang dihasilkan berisi informasi yang diperlukan penyerang untuk membajak sesi pengguna,” 1Password menyatakan dalam laporan insiden keamanan internal.
“Kami tidak memiliki bukti yang membuktikan aktor tersebut mengakses sistem apa pun di luar Okta. Aktivitas yang kami lihat menunjukkan bahwa mereka melakukan pengintaian awal dengan tujuan agar tetap tidak terdeteksi dengan tujuan mengumpulkan informasi untuk serangan yang lebih canggih.”
Untuk lebih jelasnya, Okta adalah alat yang berhubungan dengan bisnis yang menggunakan sistem yang sepenuhnya terpisah dari tempat Anda menemukan data pengguna disimpan, yang sepenuhnya dienkripsi dan memerlukan kunci utama dan kata sandi pengguna untuk mendekripsi.
Namun, penting untuk menganggap serius pelanggaran terkecil sekalipun, karena pelanggaran tersebut sering kali digunakan untuk membangun pijakan, yang kemudian dapat dimanfaatkan untuk serangan yang lebih luas.
1Password telah menghapus sesi dan merotasi kredensial untuk pengguna administratif Okta-nya. Perusahaan juga melakukan beberapa perubahan pada konfigurasi Okta, termasuk menolak login dari IDP non-Okta, mengurangi waktu sesi untuk pengguna administratif, memperketat aturan MFA untuk pengguna administratif, dan mengurangi jumlah administrator super.
Akan menarik untuk melihat apakah kita mengetahui lebih banyak tentang insiden tersebut dalam beberapa minggu mendatang.
Ikuti Arin: Twitter, LinkedIn
Itulah konten tentang 1Password mengatakan akun internal Okta dibobol dalam insiden keamanan, semoga bermanfaat.