Computer Forum
1Password beschreibt den Vorfall in einem Blog-Beitrag und weist darauf hin, dass am 29. September verdächtige Aktivitäten in einer Okta-Instanz festgestellt wurden, die für die Verwaltung von Mitarbeiteranwendungen verwendet wird. Als erster Auslöser für die Untersuchungen galt eine unerwartete E-Mail, die ein Mitglied des IT-Teams von 1Password erhielt. In der E-Mail wurde behauptet, der Mitarbeiter habe einen Okta-Bericht mit einer Liste von Administratoren angefordert, was er nicht getan hatte.
Daraufhin ergriff das interne Sicherheitsteam von 1Password erste Maßnahmen. Zu diesen gehörten die Änderung aller Anmeldedaten von Admin-Benutzern, die Durchsetzung strengerer Regeln für die Multi-Faktor-Authentifizierung (MFA), die Reduzierung der Anzahl der Super-Admins, die Verkürzung der Sitzungszeiten von Admin-User und die Überarbeitung der Okta-Konfiguration. Bei MFA wechselte 1Password komplett auf Yubikey.
Während der Untersuchung fand 1Password keine Hinweise darauf, dass Mitarbeiter- oder Benutzerdaten kompromittiert wurden. Der Angriffsvektor scheint das gehackte Support-System von Okta gewesen zu sein. Okta bestätigte einen Sicherheitsvorfall in diesem Zusammenhang, bei dem sich Angreifer Zugang verschafft hatten. Okta gab zwar nicht an, wie viele seiner über 18.000 Kunden betroffen waren, sagte aber, dass es sich um einen sehr kleinen Prozentsatz handele.
1Password hat eigenen Aussagen nach schnell reagiert und die genannten Gegenmaßnahmen erscheinen als gerechtfertigt. Auch wenn 1Password keine weiteren Spuren eines Angriffs finden konnte, gehen Angreifer meist so vor, dass sie sich verdeckt halten und Hintertüren hinterlassen. 1Password bleibt auch weiterhin ein interessantes Ziel für Angreifer und wird sich noch häufiger verteidigen müssen, denn die Erbeutung von Hunderttausenden oder gar Millionen Accounts samt Passwort hat einen hohen Wert. Man sollte es sich gut überlegen, ob man seine ganzen Passwörter einem Cloudanbieter anvertraut - wir würden davon abraten.
