Gli sviluppatori di 1Password, uno dei software e piattaforma più noti per la gestione di password e credenziali, hanno confermato di avere individuato un problema di sicurezza, con accessi non autorizzati alla sua istanza Okta, una società fornitrice di 1Password a sua volta specializzata in gestione delle identità e degli accessi dei dipendenti.
La software house afferma che i dati degli utenti non sono stati compromessi, spiegando che l’intrusione sarebbe avvenuta sfruttando cookie di sessione memorizzati nei file HAR usati dal supporto clienti di Okta.
1Password è un password manager sfruttato da milioni di persone e centinaia di migliaia di aziende, e un “buco” in un sistema del genere non è una buona notizia per chi affida i propri dati a terzi. I file HAR al quale fa riferimento l’azienda sono archivi HTML (HAR sta per HTML Archive) che permettono di replicare le attività di navigazione per comprendere le cause di problemi tecnici.
“Il 29 settembre abbiamo individuato attività sospetta su una istanza Okta che usiamo per gestire applicazioni pensate per i dipendenti”, riferisce Pedro Canahuati, CTO di 1Password. “Abbiamo immediatamente interrotto l’attività, indagate e non individuate attività di compromissione dei dati utenti o riguardo altri sistemi sensibili, sia per quanto riguarda le applicazioni dei dipendenti, sia per quanto riguarda gli utenti”.
Venerdì scorso, Okta aveva scoperto che cybercriminali avevano rubato credenziali per la gestione delle richieste di assistenza. Un dipendente di 1Password aveva inviato un file HAR al supporto clienti, come previsto dalla procedura, e un cybercrimnale, sfruttando i cookie di sessione, era riuscito ad accedere al portale amministrativo di Okta, aggiornare l’IDP (IDentity Provider) associato all’ambiente di produzione fornito da Google e richiesto l’elenco degli utenti con diritti di amministratore.
Il team IT di 1Password, ricevuta la richiesta via mail afferma di avere immediatamente bloccato l’attività non autorizzata. Successive indagini hanno confermato che non c’è stato alcun furto di dati legati agli utenti.
Sono state implementate nuove misure di sicurezza (es. bloccando login da IDP diversi da Okta e riducendo la durata delle sessioni di amministrazione), modificate tutte le password interne e si è deciso di adottare internamente esclusivamente l’autenticazione multi-fattore con Yubikey.
Per tutte le notizie che trattano di sicurezza informatica rimandiamo i lettori alla sezione dedicata di macitynet.
