1Password、内部のOktaアカウントで「不審な活動」を検知

 (arstechnica.com)
1 ポイント 投稿者 GN⁺ 2023-10-25 | 1件のコメント | WhatsAppで共有
  • 広く利用されているパスワードマネージャーの1Passwordが、自社のOktaアカウントで不審な活動を検知しました。
  • この不審な活動は9月29日に検知され、直ちに停止されました。
  • 1PasswordのCTOであるPedro Canahuatiは、ユーザーデータや機密システムは侵害されていないことを確認しました。
  • 同社は、正体不明の攻撃者がどのようにしてアカウントへアクセスしたのかを確認するため、Oktaと協力しています。
  • この侵害は、Oktaが顧客サポート管理システムで報告した侵害の結果であることが確認されました。
  • 攻撃者は、認証クッキーやセッショントークンなどの機密情報を含むHTTPアーカイブ(HAR)ファイルを取得しました。
  • 1Passwordは、その後の攻撃で標的となったOkta顧客として知られている2番目の事例です。
  • 攻撃者は、システムのアクセス権と権限の管理に使われる1PasswordのOktaテナントにもアクセスしました。
  • 攻撃者は、Googleが提供する本番環境を認証するために使用されるIDP(IDプロバイダー)を更新しました。
  • 1Passwordはその後、Oktaテナントの設定を変更してセキュリティを強化しました。
  • Oktaの侵害は、大規模顧客にソフトウェアやサービスを提供する大企業を狙った一連の攻撃の一部です。

関連記事

1件のコメント

 
GN⁺ 2023-10-25
Hacker Newsの意見
  • シングルサインオン(SSO)のアウトソーシングは、技術的な容易さや能力だけでなく、信頼できるプロバイダーが処理していることを顧客に保証することでもある。
  • 1Passwordがオフラインのローカル保存からクラウドベースの保存とサブスクリプションモデルへ移行したことで、データセキュリティへの懸念が増幅した。
  • 最良の設計プラクティスに従っていても、複雑さと可視性の崩壊は重大な脆弱性を招く可能性がある。
  • 1Passwordの事案は、FIDO2未満は脆弱と見なされるため、企業が2FAのためにYubiKeyへ移行するきっかけになる可能性がある。
  • セキュリティ侵害の履歴を踏まえ、一部のユーザーはIDPとしてOktaを選ぶことに疑問を呈している。
  • この事案の責任はOktaにあり、問題解決のために適切なサニタイズなしで平文のHARエンコードセッションを要求したためだ。
  • 一部のユーザーは、セキュリティ上の理由から、オンラインサービスよりもセルフホスト・自己同期型のパスワードマネージャーを好む。
  • 不審な挙動を監視するアプリに関するベストプラクティスとインテリジェントなツールが必要だ。
  • 1Passwordは、Cloudflareも被害者となった後続攻撃で標的にされたOkta顧客として、2番目に知られている事例だ。
  • 潜在的な侵害があったとしても、ユーザーのパスワードは保存時および転送時に暗号化されているため、安全であるはずだ。