Inbraakpoging bij 1Password door hack bij toeleverancier

Pieterjan Van Leemputten

Wachtwoordbeheerder 1Password zegt dat hackers probeerden in te breken via de identiteitsbeheerder die het bedrijf gebruikt. Er zouden geen klantgegevens gestolen zijn.

1Password CTO Petro Canahuati zegt in een mededeling dat het bedrijf de inbraakpoging had opgemerkt en meteen een onderzoek is gestart. Daaruit blijkt nu dat er geen data van gebruikers werd gecompromitteerd. Het is dus niet nodig om wachtwoorden aan te passen of je account bij 1Password niet langer te gebruiken.

De manier waarop de poging plaatsvond is wel opmerkelijk: 1Password zegt dat het op 29 september verdachte activiteiten zag bij hun Okta tools die het gebruikt ter ondersteuning van werknemers. Daarop werd alles van Okta meteen stopgezet en begon het bedrijf een onderzoek.

Rapport opgevraagd

Intussen is het samen met Okta op zoek gegaan naar wat er is gebeurd en daaruit blijkt dat 1Password van Okta de vraag had gekregen om een specifiek bestand/rapport (een HAR-bestand of http archive) te bezorgen met alle verkeer tussen de browser en servers van Okta inclusief sessiecookies.

Later, op 29 september, zou een hacker diezelfde sessie van Okta gebruikt hebben om in het administratorportaal van Okta dingen uit te voeren, waaronder pogingen om het dashboard bij 1Password te bekijken en rapporten op te vragen over administrators. Bij dat laatste werd een mail gestuurd naar de betrokken leden waardoor de poging werd opgemerkt.

Okta vaker geviseerd

De hacker kon dat omdat achteraf duidelijk werd dat de interne support systemen van Okta gehacked werden. Okta is de laatste tijd vaker slachtoffer geworden. Begin dit jaar raakte bekend dat de broncode van een van hun diensten werd gekopieerd. Eerder in 2022 kon een hacker data van klanten inkijken. Of die incidenten gelinkt zijn aan deze hack, of ze mee mogelijk maakten, is niet bekend.

De techniek is opmerkelijk, maar komt de laatste jaren vaker voor: een toeleverancier, idealiter van gevoelige processen zoals identiteitsbeheer, wordt gehacked om zo via een achterdeur bij het uiteindelijke doelwit binnen te geraken. Maar omdat de poging snel werd opgemerkt werd ze ook snel afgeblokt en zijn er momenteel geen aanwijzingen dat er data van 1Password werd ingekeken.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content