1Password werd gehackt, maar wachtwoorden zijn veilig
1Password laat in een korte mededeling weten dat het slachtoffer is geworden van een veiligheidsincident. CTO Pedro Canahuati laat via die weg weten dat er “verdachte activiteiten waargenomen worden in de Okta-instantie die gebruikt wordt om interne applicaties te beheren”. De oorzaak van het veiligheidslek ligt dus bij Okta, dat authenticatieprocessen voor interne bedrijfsapplicaties beheert.
Okta
Okta zelf liet vorige week nog weten dat het slachtoffer werd van een cyberaanval. Daarbij verschaften onbekenden zich met gestolen inloggegevens toegang tot het managementsysteem van de klantendienst. Vanuit het managementsysteem hadden de hackers toegang tot heel wat informatie. Op het systeem dat gehackt werd, staat namelijk heel wat informatie opgeslagen. Het gaat om HTTP-archieven die gebruikt worden om problemen met de applicaties te kunnen repliceren. Om dat te kunnen doen, staat er heel wat informatie in die archieven, waaronder ook cookies en sessietokens. Met die gegevens kunnen hackers zich voordoen als iemand anders en ongezien binnendringen in computersystemen.
Ook vanuit 1Password werd zo’n HTTP-archief opgeladen om problemen op te lossen. De inloggegevens en sessietokens die daarin staan, werden ook gespot bij de hackers die bij 1Password binnendrongen. Dat er iets aan de hand was, dat kreeg 1Password al op 29 september in de gaten: er kwam toen een mail binnen over de aanvraag voor een lijst met alle administratoraccounts. Die aanvraag werd echter nooit ingediend door medewerkers van 1Password.
Veiligheidsmaatregelen
Sinds het veiligheidsincident kon worden nagegaan dat het veiligheidslek wel degelijk van de kant van Okta komt. Bij de wachtwoordmanager laten ze weten dat de nodige veiligheidsmaatregelen intussen genomen werden: inloggegevens en sessietokens werden allemaal hernieuwd. Sessies zullen voortaan ook korter duren, wat het risico op een aanval als dit moet verminderen. Bovendien komen er intern strengere regels voor MFA en wordt er gesnoeid in het aantal superadministratoraccounts – daardoor wordt ook het aantal mogelijke toegangswegen verminderd.
1Password laat verder weten dat er geen klantgegevens ontvreemd werden tijdens het incident. Met andere woorden: je wachtwoorden zijn nog steeds veilig.