1Password Mendeteksi "Aktivitas Mencurigakan" di Akun Okta Internal

 (arstechnica.com)
1 poin oleh GN⁺ 2023-10-25 | 1 komentar | Bagikan ke WhatsApp
  • 1Password, pengelola kata sandi yang banyak digunakan, mendeteksi aktivitas mencurigakan di akun Okta miliknya sendiri.
  • Aktivitas mencurigakan ini terdeteksi pada 29 September dan segera dihentikan.
  • CTO 1Password, Pedro Canahuati, mengonfirmasi bahwa data pengguna maupun sistem sensitif tidak disusupi.
  • Perusahaan tersebut bekerja sama dengan Okta untuk mengetahui bagaimana penyerang yang belum diketahui bisa mengakses akun itu.
  • Pelanggaran ini dipastikan merupakan akibat dari pelanggaran yang dilaporkan Okta pada sistem manajemen dukungan pelanggannya.
  • Penyerang memperoleh file HTTP archive (HAR) yang berisi informasi sensitif seperti cookie autentikasi dan token sesi.
  • 1Password adalah kasus kedua yang diketahui di antara pelanggan Okta yang menjadi sasaran dalam serangan lanjutan.
  • Penyerang juga mengakses tenant Okta milik 1Password yang digunakan untuk mengelola hak akses dan izin sistem.
  • Penyerang memperbarui IDP (identity provider) yang digunakan untuk mengautentikasi lingkungan produksi yang disediakan Google.
  • Setelah itu, 1Password mengubah pengaturan konfigurasi tenant Okta untuk memperkuat keamanan.
  • Pelanggaran di Okta ini merupakan bagian dari rangkaian serangan terhadap perusahaan-perusahaan besar yang menyediakan perangkat lunak atau layanan kepada pelanggan berskala besar.

Bacaan terkait

1 komentar

 
GN⁺ 2023-10-25
Opini Hacker News
  • Outsourcing single sign-on (SSO) bukan hanya soal kemudahan teknis atau kapabilitas, tetapi juga tentang meyakinkan pelanggan bahwa hal itu ditangani oleh penyedia yang dapat dipercaya.
  • Peralihan 1Password dari penyimpanan offline lokal ke penyimpanan berbasis cloud dan model langganan telah memperbesar kekhawatiran tentang keamanan data.
  • Runtuhnya kompleksitas dan visibilitas bahkan saat mengikuti praktik desain terbaik dapat menimbulkan kerentanan yang signifikan.
  • Insiden 1Password dapat mendorong perusahaan beralih ke YubiKeys untuk 2FA, karena apa pun di bawah FIDO2 dianggap lemah.
  • Mengingat riwayat pelanggaran keamanan, beberapa pengguna mempertanyakan pilihan Okta sebagai IDP.
  • Kesalahan dalam insiden ini ada pada Okta, karena meminta sesi HAR berkode plaintext untuk pemecahan masalah tanpa sanitasi yang memadai.
  • Beberapa pengguna lebih memilih pengelola kata sandi self-hosted dengan sinkronisasi sendiri daripada layanan online karena alasan keamanan.
  • Diperlukan praktik terbaik dan alat cerdas untuk aplikasi yang memantau perilaku mencurigakan.
  • 1Password adalah target kedua yang diketahui di antara pelanggan Okta dalam serangan lanjutan, setelah Cloudflare juga menjadi korban.
  • Terlepas dari potensi pelanggaran, kata sandi pengguna seharusnya tetap aman karena dienkripsi saat tersimpan maupun saat ditransmisikan.