黑客试图使用从Okta漏洞窃取的数据破解1Password

最近Okta的入侵事件让黑客有机会尝试渗透密码管理器1Password和互联网基础设施提供商Cloudflare。

这两家公司都是Okta的客户，Okta是数千家企业的单一登录提供商。幸运的是，1Password和Cloudflare表示，他们能够阻止攻击者侵入他们的IT系统。

该公司周一在一份报告中称：“​​经过彻底调查，我们得出结论，1Password的用户数据没有被获取。”

黑客能够通过侵入Okta的客户支持系统来攻击这两家公司，该系统存储了客户将上传以解决问题的HTTP档案文件。这些相同的HTTP存档文件可以包含客户端的Internet Cookie和会话令牌，可用于模拟有效的Okta用户。

上个月，黑客似乎使用了从HTTP档案文件中窃取的会话令牌来访问1Password的Okta账户。这在9月9日触发了内部警报。29，这就泄露了1Password。该公司在一份事件报告中表示：“初步调查显示，我们Okta环境中的活动源自一个可疑的IP地址，后来证实，一名威胁行为者以管理权限访问了我们的Okta租户。”

该公司后来的调查发现，一名1Password员工在9月9日与Okta的客户支持共享了一个HTTP档案。29在使用酒店的Wi-Fi时。然而，所有证据都表明，黑客在被赶出系统之前只能进行侦察。

1Password补充道：“我们立即终止了这项活动，进行了调查，没有发现用户数据或其他敏感系统受到损害，无论是面向员工还是面向用户。”

CloudFlare报道称，该公司在10月18日经历了类似的事件，黑客使用了从Okta窃取的会话令牌。这导致黑客侵入了两个独立的Cloudflare员工在Okta的账户。

然而，Cloudflare的安全系统检测到了入侵。该公司在自己的博客文章中写道：“我们已经核实，由于我们反应迅速，没有任何Cloudflare客户信息或系统受到这一事件的影响。”

在Okta通知他们潜在的入侵之前，1Password和Cloudflare也都检测到了漏洞–这对这家单一登录提供商来说并不是一个很好的样子。CloudFlare还暗示Okta没有认真对待有关入侵的初步报告。该公司的博客文章敦促Okta“认真对待任何泄露的报告，并立即采取行动，限制损害”，并指出，另一家安全供应商BeyondTrust早在10月2日就已经通知了该公司。

此外，Cloudflare建议所有Okta客户调查他们的内部系统是否有异常活动，并依赖硬件安全密钥而不是传统密码。

我们联系了奥克塔，如果有消息，我们会更新故事。该公司告诉安全记者布莱恩·克雷布斯，在其18000多名客户中，有一小部分人受到了影响。奥克塔上周五在一篇博客文章中表示：“所有受此影响的客户都已收到通知。”