Хороший пример репорта о подозрениях в нарушении безопасности от 1password. Они заподозрили, что происходит что-то неладное в их Okta-аккаунте, т.е. во всяких внутренних админках и службе поддержки.
Член ИТ-команды занимался поддержкой Okta и по их просьбе создал HAR-файл из Chrome Dev Tools и загрузил его на портал поддержки Okta. Этот файл HAR содержит запись всего трафика между браузером и серверами Okta, включая конфиденциальную информацию, в том числе сессионные куки. Рано утром в пятницу, 29 сентября, неизвестный злоумышленник использовал тот же сеанс Okta, который использовался для создания HAR-файла, для доступа к административному порталу Okta и пробовал сделать следующее:
– Попытался получить доступ к пользовательской панели сотрудника ИТ-подразделения, но попытка была заблокирована системой Okta.
– Обновил существующую IDP, привязанную к нашей производственной среде Google.
– Активировал IDP.
– Запросил отчет об админ. пользователях.
Последнее действие в этом списке привело к отправке тревожного письма члену ИТ-команды, что, конечно, привело к быстрой реакции.
Короче, все и всё в безопасности. А отчет очень интересный, почитайте дальше подробности в пдф.
blog.1password.com/files/okta-in