1Password ने आंतरिक Okta अकाउंट में “संदिग्ध गतिविधि” का पता लगाया
(arstechnica.com)- 1Password ने कर्मचारियों के ऐप एक्सेस को प्रबंधित करने वाले आंतरिक Okta instance में 29 सितंबर को संदिग्ध गतिविधि का पता लगाया, और उपयोगकर्ता डेटा या संवेदनशील सिस्टम में किसी घुसपैठ का पता नहीं चला
- यह एक्सेस Okta के customer support management system breach से जुड़ा था, और हमलावर ग्राहक द्वारा अपलोड की गई HAR files से authentication cookies और session tokens हासिल कर सकते थे
- 1Password की आंतरिक Notion रिपोर्ट में संक्षेप में बताया गया कि हमलावर ने IT कर्मचारी द्वारा Okta support के साथ काम करते समय बनाई गई HAR file हासिल की थी, जिसमें Okta ट्रैफ़िक और session cookies शामिल थे
- हमलावर ने 1Password के Okta tenant में admin user report का अनुरोध किया और Google production environment authentication के लिए IDP को update और enable किया, लेकिन बाद में दोबारा इस्तेमाल की कोशिश IDP हटाए जाने के कारण विफल रही
- Okta breach ऐसा follow-on attack मामला बन गया जिसमें vendor breach के बाद ग्राहक कंपनियों पर हमला हुआ, और 1Password ज्ञात रूप से निशाना बनाए गए Okta ग्राहकों में दूसरा बना
1Password ने आंतरिक Okta एक्सेस का पता लगाया
- 1Password एक password manager है, जिसका इस्तेमाल लाखों उपयोगकर्ता और 1 लाख से अधिक कंपनियां करती हैं
- कंपनी ने कर्मचारियों के ऐप प्रबंधन के लिए इस्तेमाल होने वाले Okta instance में 29 सितंबर को संदिग्ध गतिविधि की पुष्टि की
- CTO Pedro Canahuati ने कहा कि संबंधित गतिविधि को तुरंत समाप्त कर उसकी जांच की गई, और उपयोगकर्ता डेटा या कर्मचारियों/उपयोगकर्ताओं के संवेदनशील सिस्टम में किसी घुसपैठ का पता नहीं चला
- इसके बाद 1Password ने Okta के साथ मिलकर यह जांच की कि एक अज्ञात हमलावर ने अकाउंट तक पहुंच कैसे बनाई
Okta support system breach और HAR files का जोखिम
- पुष्टि हुई कि 1Password की यह घटना Okta द्वारा सार्वजनिक किए गए customer support management system breach से शुरू हुई थी
- Okta ने कहा कि एक threat actor ने customer support case management system में अनधिकृत पहुंच हासिल की और कुछ Okta ग्राहकों द्वारा अपलोड की गई files देखीं
- हासिल की गई files में HAR files शामिल थीं, जिनका उपयोग Okta support कर्मी troubleshooting के दौरान ग्राहक के browser activity को पुन: तैयार करने के लिए करते हैं
- HAR files में authentication cookies और session tokens जैसी संवेदनशील जानकारी संग्रहीत हो सकती है, जिनका दुरुपयोग कर हमलावर वैध उपयोगकर्ता का रूप धारण कर सकता है
BeyondTrust के बाद ज्ञात रूप से दूसरा निशाना
- security company BeyondTrust ने तब घुसपैठ का पता लगाया जब हमलावर ने वैध authentication cookie के साथ उसके Okta अकाउंट तक पहुंचने की कोशिश की
- BeyondTrust में हमलावर कुछ “सीमित कार्य” कर सका, लेकिन access policy controls ने गतिविधि को रोक दिया और अकाउंट एक्सेस ब्लॉक कर दिया
- 1Password, Okta breach के बाद follow-on attack का निशाना बनने वाला ज्ञात रूप से दूसरा Okta ग्राहक बन गया
आंतरिक Notion रिपोर्ट में दर्ज घटना का क्रम
- 18 अक्टूबर की तारीख वाली और 1Password के आंतरिक Notion workspace में साझा की गई रिपोर्ट में कहा गया कि हमलावर ने कंपनी के IT कर्मचारी द्वारा बनाई गई HAR file हासिल की थी
- संबंधित कर्मचारी ने यह file हाल ही में Okta support के साथ काम करते समय बनाई थी
- file में 1Password कर्मचारी के browser और Okta server के बीच के सभी traffic records और session cookies शामिल थे
- 1Password ने एक गुमनाम कर्मचारी द्वारा text और screenshots के रूप में दिए गए दस्तावेज़ की प्रामाणिकता पर टिप्पणी के अनुरोध का जवाब नहीं दिया
- रिपोर्ट के अनुसार हमलावर ने 1Password के Okta tenant तक भी पहुंच बनाई
- Okta tenant का उपयोग कर्मचारियों, partners और ग्राहकों को दिए जाने वाले system access permissions और permission levels को प्रबंधित करने के लिए होता है
- हमलावर ने group assignments देखे और अन्य कार्य भी किए, लेकिन कुछ गतिविधियां event log में दर्ज नहीं हुईं
- login के दौरान Google द्वारा प्रदान किए जाने वाले production environment authentication में इस्तेमाल होने वाले IDP(identity provider) को update किया
हमलावर ने क्या किया और दोबारा कोशिश कैसे रोकी गई
- 29 सितंबर को 1Password IT team को ऐसा अप्रत्याशित email मिला, जिससे admin privileges वाले 1Password users की सूची मांगे जाने का संकेत मिला, और इसी से एक्सेस का पता चला
- टीम के सदस्यों ने निष्कर्ष निकाला कि किसी अधिकृत कर्मचारी ने यह अनुरोध नहीं किया था, और कंपनी की security response team को सूचित किया
- हमलावर द्वारा किए गए कार्य इस प्रकार थे
- IT कर्मचारी के Okta dashboard तक पहुंचने की कोशिश की, लेकिन रोका गया
- 1Password के production Google environment से जुड़े मौजूदा IDP को update किया
- उस IDP को enable किया
- admin user report का अनुरोध किया
- 2 अक्टूबर को हमलावर ने फिर से 1Password के Okta tenant में login कर पहले enable किए गए Google IDP का उपयोग करने की कोशिश की, लेकिन IDP हटाए जाने के कारण विफल रहा
- दोनों बार की गई पहुंच अमेरिका के cloud host LeaseWeb server से हुई और Windows machine के Chrome version का उपयोग किया गया
- घटना के बाद 1Password ने Okta tenant settings बदलकर non-Okta identity providers के जरिए login अस्वीकार करना शुरू कर दिया
vendor breach से ग्राहक कंपनियों पर हमले तक की संरचना
- Okta breach हाल के वर्षों में बड़े ग्राहक आधार वाले software और service providers को निशाना बनाने वाले हमलों की एक श्रृंखला में से एक है
- हमलावर provider में घुसपैठ करने के बाद उसी पहुंच का उपयोग कर ग्राहक कंपनियों पर follow-on attacks करते हैं
- आगे चलकर और अधिक Okta ग्राहकों के सामने आने की संभावना है
1 टिप्पणियां
Hacker News टिप्पणियाँ
SSO को बाहर सौंपना सिर्फ तकनीकी रूप से आसान होने या operational capability होने का मामला नहीं है। आप customer contract में लिख सकते हैं कि आप reputable SSO provider का उपयोग करते हैं, और key management approach तथा key material protection से जुड़ी documentation responsibility भी वही provider उठाता है
1Password के पास शायद पहले से ऐसी व्यवस्था रही होगी, इसलिए यह थोड़ा असामान्य मामला है, लेकिन आम तौर पर “हमारे संगठन के अंदर कोई भी keys तक पहुँच नहीं सकता” कहना, “सिर्फ Bob अपवाद है, वह SSO server चलाता है और हम उस पर भरोसा करते हैं” कहने से कहीं आसान होता है
यह दिलचस्प है कि C की memory safety vulnerabilities पर सबसे ज़्यादा बात होती है, लेकिन वास्तविक असर अक्सर उस तरह की insight collapse से आता है जो तथाकथित best-practice design का पालन करते हुए पैदा हुई अत्यधिक complexity से निकलती है
मुझे लगता है कि मूल कारण विशाल complexity को समझ पाने में इंसानों की सीमाएँ हैं
दूसरा हिस्सा इंसानों से जुड़ा होने के कारण ज़्यादा complex होने की संभावना है, इसलिए technology में salvation ढूँढना आसान हो जाता है
“IT टीम के सभी सिस्टम credentials बदल दिए गए, और MFA को सिर्फ Yubikey तक सीमित कर दिया गया” वाला हिस्सा देखकर लगता है कि यह पूरे स्टाफ के लिए Yubikey-आधारित 2-फैक्टर authentication अपनाने की प्रेरणा बन सकता है। FIDO2 से कम कुछ भी सच में कमजोर है
अब भी लोग Okta क्यों चुनते हैं, यह समझ नहीं आता। व्यक्तिगत रूप से मुझे ID provider के रूप में GSuite इस्तेमाल करना कहीं ज्यादा सुविधाजनक लगता है। Okta को काफ़ी गंभीर breach झेलने पड़े हैं, और सच कहूँ तो उससे पहले भी उसकी security practices के बारे में अच्छी बातें नहीं सुनी थीं
hardware-based MFA को अनिवार्य करना अच्छी practice है और भविष्य में spear phishing जैसे हमलों को रोक सकता है, लेकिन इस घटना से उसका सीधा संबंध नहीं है
लोग Okta इसलिए चुनते हैं क्योंकि मामला कुछ-कुछ “IBM खरीदने पर किसी की नौकरी नहीं जाती” जैसा है। खुद का Keycloak चलाकर breach हो जाए तो ज़िम्मेदारी मेरी, लेकिन Okta हो तो वह मेरी समस्या नहीं रह जाती — इस outsourcing संरचना का भी बड़ा हाथ है
शक है कि आपने Google Workspace को किसी गंभीर उपयोग के लिए वास्तव में इस्तेमाल किया भी है या नहीं। यह सबसे कम फीचर वाले ID providers में से एक है, जबकि Okta सबसे अधिक फीचर वाले विकल्पों में आता है। सिर्फ इस वजह से कि दोनों में दो पहिए हैं, साइकिल और मोटरसाइकिल की तुलना करने जैसा है
टेक फ़ोरम पर Google Workspace को ID provider के रूप में recommend करते देखूँगा, यह कभी नहीं सोचा था
Yubikey इस्तेमाल करने पर सभी password-संबंधी customer support मुद्दे किसी बाहरी vendor की बजाय internal IT विभाग को संभालने पड़ते हैं
MFA में तकनीकी समस्याएँ भी हैं और सामाजिक समस्याएँ भी, लेकिन key·token·phone·SMS जैसी implementations की तकनीकी security लगभग मामूली बात है; customer support, खोए हुए password, वॉशिंग मशीन में चले गए key, mail न मिलना जैसी सामाजिक समस्याएँ कहीं ज़्यादा भारी पड़ती हैं
हर कोई security में यह विशाल और मूर्खतापूर्ण customer support भूमिका outsource करना चाहता है, लेकिन ऐसा करने के बाद सब पर लागत घटाने का दबाव बनता है। उसका नतीजा Okta है
उदाहरण के लिए, अगर सभी कर्मचारी GSuite में हों और किसी संगठन को AWS organization access देना हो, तो AWS SSO[1] सुझाया गया तरीका है। integration सेट कर देने के बाद login तो हो जाता है, लेकिन कई खाली जगहें रह जाती हैं
GSuite user groups के आधार पर AWS SSO में users को अपने-आप provision या remove करने की सुविधा नहीं है। SSO के SCIM support के साथ अपना code लिखा जा सकता है, लेकिन फिर उसे maintain भी करना पड़ेगा
SSO session बनाते समय MFA verification को अनिवार्य करने का कोई तरीका न GSuite की तरफ़ है, न AWS SSO की तरफ़। GSuite, SAML application authentication से पहले MFA verification अनिवार्य नहीं कर सकता, और AWS SSO भी internal Directory इस्तेमाल करने के विपरीत, ID provider उपयोग करने पर MFA verification enforce नहीं कर सकता
कहा जाता है कि Okta और उसके जैसे products ये काम कर देते हैं, और इस्तेमाल हो रहे endpoint के आधार पर MFA verification भी लागू कर सकते हैं। मैंने खुद इसे नहीं आजमाया, यह marketing materials और sales explanations पर आधारित बात है
संक्षेप में, Okta ID provider और इस्तेमाल की जा रही applications के बीच कहीं अधिक automation और security glue देता है
[1] यहाँ AWS SSO से आशय AWS के product “AWS IAM Identity Center (Successor to AWS Single Sign-On)” से है
अभी जो दिख रहा है, वह बस इतना है कि Okta पिछले साल breach हुआ था, इस बार भी breach हुआ, और इस बार की घटना customer support विभाग या systems में हुई लगती है। breach disclosure देर से हुई हो सकती है, लेकिन यह भी संभव है कि false reports बहुत थीं और हाल तक सबूत नहीं मिला। यह भी हो सकता है कि शुरू में रिपोर्ट करने वाले customer को credit न दिया गया हो, और रिपोर्ट के बाद customers से ठीक से communication न किया गया हो
जो नहीं पता, वह इससे कहीं ज़्यादा है। हम नहीं जानते कि attacker कितने skilled थे, हर ID provider कितनी बार breach हुआ, कितनी बार detect किया, detect करके छिपाया या नहीं, हर service में कितने security bugs हैं, वे कितने गंभीर हैं, उन्हें ढूँढना कितना आसान है, breach detection क्षमता कैसी है, employee training कितनी अच्छी है, और कर्मचारियों में वास्तव में security की परवाह करने वालों का अनुपात कितना है
सिर्फ इसलिए कि Okta ने breach रिपोर्ट किया, यह निष्कर्ष नहीं निकाला जा सकता कि उसका product बदतर है। हमें यह नहीं पता कि दूसरे products कितने अच्छे हैं; संभव है Okta कुछ या सभी competitors से बेहतर हो, और निश्चित ही यह भी संभव है कि वह बदतर हो
पहले 1Password एकमुश्त कीमत पर खरीदा जाता था, और software पूरी तरह offline चलता था, जिसमें encrypted vault local रूप से या Dropbox में stored रहता था। ऑनलाइन चुराने के लिए कुछ था ही नहीं, इसलिए hackers की चिंता करने की ज़रूरत नहीं पड़ती थी
फिर किसी ने calculator चलाकर तय किया कि profitability बढ़ाने का रास्ता सबका data cloud में ले जाकर subscription fee लेना है। और अब हम इस बात की चिंता कर रहे हैं कि कहीं data leak तो नहीं हो गया
और जहाँ तक अभी पता है, vault को Dropbox में रखने से यह कितना अलग है? Dropbox भी hack हो सकता है, और वह डेटा encrypted नहीं होता, इसके लिए तो वह मशहूर है। अभी तक क्या हमें 1Password vault के वास्तव में compromise होने का कोई मामला पता है?
https://blog.1password.com/okta-incident/
मूल incident report: https://blog.1password.com/files/okta-incident/okta-incident...
बाद में किसी अज्ञात actor ने उसी Okta session का इस्तेमाल करके, जो HAR file बनाते समय उपयोग हुआ था, Okta admin portal तक पहुँच बना ली
जैसे बैंक हमेशा कहते हैं, support staff को password नहीं देना चाहिए
इस बार ज़िम्मेदारी साफ़ तौर पर Okta की है। समस्या सुलझाने के लिए plain-text HAR-encoded session माँगना और यह उम्मीद करना कि end user उसे ठीक से साफ़ कर देगा, गलत है
upload के समय HAR data को sanitize कर देना चाहिए, ताकि वह system में जाए और कम वेतन व कम स्टाफ़ वाले support technicians जब उसे देखें तो केवल प्रासंगिक और सुरक्षित हिस्से ही बचे हों
HAR structured data है, इसलिए इसे program के ज़रिये साफ़ करना बहुत आसान है। यह कोई rocket science नहीं है
लोग बार-बार पूछते हैं कि लोग ultra-simple, ultra-friendly online service की जगह self-hosted·self-synced password manager क्यों इस्तेमाल करते हैं, और वजह वही है। यह वैसा ही है जैसे अपने apartment की चाबी मोहल्ले के train station के locker में फेंककर न रखी जाए
ऐसे संगठन अक्सर बयान जारी करने से हफ़्तों, कभी-कभी महीनों पहले समस्या ठीक कर देते हैं
open source इस्तेमाल करते समय अगर कोई critical bug मिलता है तो आपको patch press release के साथ मिलेगा, लेकिन बड़े services संभवतः वह समस्या पहले ही ठीक कर चुके होते हैं। औसत user के लिए risk-reward का संतुलन as-a-service solution की तरफ़ जाता है
इसे scripts में भी इस्तेमाल किया जा सकता है
न server compromise, न web extension vulnerability, न server error की वजह से सारे passwords खोने का डर। यह बस काम करता है
“1Password follow-up attack का target बनने वाला दूसरा ज्ञात Okta customer बन गया” यह वाक्य अजीब है। क्या Ars को नहीं पता कि Cloudflare भी victim था?
https://blog.cloudflare.com/how-cloudflare-mitigated-yet-ano...
मैं जानना चाहता हूँ कि app में suspicious behavior monitor करने की best practice क्या है। service-wide request rate या error rate देखने जैसी basics तो समझता हूँ, लेकिन व्यवहार में यह कितना sophisticated हो जाता है?
क्या ऐसे intelligent tools हैं जो event stream डालने पर anomalous behavior ढूँढ दें, या फिर monitor करने लायक हर चीज़ पहले से सोचकर rules जोड़ने पड़ते हैं?
जब आपके पास ऐसी event stream हो, तो आप data analysis tools चला सकते हैं। कुछ दिनों, हफ़्तों या महीनों की activity से normal baseline बनाकर, bulk password changes या email changes जैसे outlier behavior पर alert बजना चाहिए
लेकिन यह सिर्फ़ घर-बैठा अनुमान है, इसलिए जानना चाहूँगा कि क्या कोई ऐसा है जिसने वास्तव में audit logs और उनके इस्तेमाल को संभाला हो
फिर से detect किया गया?
https://news.ycombinator.com/item?id=37991863