October 24, 2023

Хороший пример репорта о подозрениях в нарушении безопасности от 1password. Они заподозрили, что происходит что-то неладное в их Okta-аккаунте, т.е. во всяких внутренних админках и службе поддержки.

Член ИТ-команды занимался поддержкой Okta и по их просьбе создал HAR-файл из Chrome Dev Tools и загрузил его на портал поддержки Okta. Этот файл HAR содержит запись всего трафика между браузером и серверами Okta, включая конфиденциальную информацию, в том числе сессионные куки. Рано утром в пятницу, 29 сентября, неизвестный злоумышленник использовал тот же сеанс Okta, который использовался для создания HAR-файла, для доступа к административному порталу Okta и пробовал сделать следующее:

– Попытался получить доступ к пользовательской панели сотрудника ИТ-подразделения, но попытка была заблокирована системой Okta.

– Обновил существующую IDP, привязанную к нашей производственной среде Google.

– Активировал IDP.

– Запросил отчет об админ. пользователях.

Последнее действие в этом списке привело к отправке тревожного письма члену ИТ-команды, что, конечно, привело к быстрой реакции.

Короче, все и всё в безопасности. А отчет очень интересный, почитайте дальше подробности в пдф.

blog.1password.com/files/okta-incident/okta-incident-report.pdf

Download okta-incident-report.pdf 0.09 MB