Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Cyberangriff: Okta-Hack betrifft auch 1Password

Der Anbieter des Passwortmanagers 1Password hat nach eigenen Angaben verdächtige Aktivitäten in einer internen Okta-Instanz festgestellt.
/ Marc Stöckel
11 Kommentare News folgen (öffnet im neuen Fenster)
Angreifer haben versucht, in eine interne Okta-Instanz von 1Password einzudringen. (Bild: pixabay.com / geralt)
Angreifer haben versucht, in eine interne Okta-Instanz von 1Password einzudringen. Bild: pixabay.com / geralt

Beim Anbieter des weitverbreiteten Passwortmanagers 1Password ist es kürzlich zu einem Sicherheitsvorfall gekommen, der mit dem jüngsten Cyberangriff auf den Identitätsdienst Okta in Zusammenhang steht. Wie 1Password in einem neuen Blogbeitrag(öffnet im neuen Fenster) erklärte, stellte das Unternehmen am 29. September verdächtige Aktivitäten in einer für die Verwaltung von mitarbeiterorientierten Anwendungen eingesetzten Okta-Instanz fest.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Systemadministratorinnen bzw. Systemadministratoren (m/w/d) Bundesamt für Justiz, Bonn (öffnet im neuen Fenster)
Berliner Landesnetz Standardnetzzugang Koordinator*in IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Senior Java-Entwickler (m/w/d) für die Anwendungsentwicklung Schadenregulierung ivv GmbH, Hannover (öffnet im neuen Fenster)
Senior Expert IT Service Management (w/m/d) Hensoldt, Fürstenfeldbruck (öffnet im neuen Fenster)
Wissenschaftliche Mitarbeiterin / Wissenschaftlicher Mitarbeiter - Institut für Medizininformatik (IMI) Universitätsklinikum Frankfurt, Frankfurt am Main (öffnet im neuen Fenster)
Head of Department (m/w/d) INIT Group, Karlsruhe (öffnet im neuen Fenster)
IT-Systemadministrator Schwerpunkt Support und Client Management (m/w/d) Stadtwerke Balingen, Balingen (öffnet im neuen Fenster)
Projektmanager (m/w/d) Union Betriebs-GmbH, Rheinbach (öffnet im neuen Fenster)

Einem weiterführenden Bericht (PDF)(öffnet im neuen Fenster) zufolge war der Auslöser für die Untersuchungen wohl eine von einem Mitglied des IT-Teams von 1Password unerwarteterweise empfangene E-Mail. Diese habe den Mitarbeiter informiert, dass er einen Okta-Bericht mit einer Liste von Administratoren angefordert habe - was jedoch nicht der Fall gewesen sei.

Benutzerdaten sind wohl nicht betroffen

Daraufhin habe das interne Sicherheitsteam des Unternehmens unmittelbar Maßnahmen eingeleitet, um die verdächtigen Aktivitäten zu unterbinden. 1Password gibt an, sämtliche Anmeldedaten administrativer Nutzer geändert und strengere Regeln für die Verwendung von Multi-Faktor-Authentifizierungen erlassen zu haben. Darüber hinaus habe das Unternehmen die Anzahl der Super-Admins verringert, Sitzungszeiten administrativer Nutzer reduziert und seine Okta-Konfiguration überarbeitet.

Bei den durchgeführten Untersuchungen habe 1Password keinerlei Hinweise darauf gefunden, dass "Benutzerdaten oder andere sensible Systeme gefährdet waren, weder auf der Seite der Mitarbeiter noch auf der Seite der Benutzer" . Einfallstor der Angreifer sei das gehackte Supportsystem Oktas gewesen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Angriff auf das Supportsystem von Okta

Okta räumte schon am vergangenen Freitag ein, einen internen Sicherheitsvorfall festgestellt zu haben, bei dem sich Angreifer Zugriff auf das Supportsystem des Identitäts-Management-Anbieters verschafften. Wie viele der mehr als 18.000 Kunden genau betroffen seien, erklärte das Unternehmen nicht, gab jedoch an, es handle sich um einen "sehr, sehr kleinen Anteil" .

Das Problem liegt wohl in beim Okta-Support hochgeladenen HTTP-Archivdateien (HAR), zu denen das Unternehmen seine Kunden routinemäßig auffordert, um Fehlerberichte besser nachzuvollziehen. Diese Dateien enthalten jedoch auch sensible Daten wie Cookies und Sitzungs-Tokens, die eine Übernahme der jeweiligen Kundenkonten ermöglichen.

Zur Startseite 11 Kommentare

Relevante Themen

CookiesSecurityCybercrimeDatensicherheitPasswortmanagerPasswortHackerCyberwar