Okta Hack: Auch 1Password intern betroffen
von Olli | 17 Kommentare
Wir berichteten darüber, dass sich Hacker Zugang zum Identitätsdienst Okta verschafften. Dort konnte man auf sensible Kundendaten zugreifen. Laut einem Blog-Post ist auch 1Password davon betroffen. Okta wird dort genutzt, um die Mitarbeiter-bezogenen Apps zu verwalten. Man erkannte am 29. September die verdächtige Aktivität jedoch sofort und unternahm Gegenmaßnahmen. Es konnten keinerlei Hinweise darauf gefunden werden, dass Nutzerdaten oder anderen Information aus dem System zugegriffen werden konnten. Seitdem arbeitet man mit Okta zusammen und fand heraus, dass der Vorfall mit dem Einbruch bei Okta zusammenhängt.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Bisher ja nur Meldungen dass es verhindert wurde. Mal warten wann das anders ist
Tja, da vertraue ich doch einfach weiterhin Keepass Offline. Selbst schuld wer seine passwörter auf irgendwelchen Server hochlädt
Es geht hier nur um das Support-System von 1Password. Die Server auf denen die Passwörter gespeichert werden waren gar nicht betroffen und selbst wenn wäre es egal weil 1Password Ende-zu-Ende Verschlüsselung verwendet. Bei KeePass ist das auch nicht anders. Wenn man dort seine Passwörter synchronisieren will lädt man die Passwortdatenbank-Datei typischerweise auch irgendwo hoch. z.B. Google Drive oder ein eigener Server. Die könnten aber genau so gehackt werden. (Wäre aber auch hier genauso egal wegen der Ende-zu-Ende Verschlüsselung.)
Wenn man sich mit dem Security Paper beschäftigt, dann weiß man, dass die Daten bei 1Password auch im Falle eines Hacks noch sicher sind. Asymmetrische Verschlüsselung funktioniert 😉
Direkt geoutet das System nicht verstanden zu haben. Ich könnte dir meine Passwortdatenbank per Mail schicken (gilt auch für Keepass) und du könntest damit null anfangen. Das schlechte Gefühlt verstehe ich an der Stelle aber erst mal, ist aber unbegründet. Dafür hab ich alle Vorteile die du nicht hast. Was für mich nach über 10 Jahren dann doch der Grund weg von Keepass zu was zeitgemäßeren war.
Natürlich besteht immer noch ein Restrisiko das die Implementierung bei 1Password so schlecht ist das man doch an die unverschlüsselten Daten kommt oder der Anbieter selber gar direkt die Möglichkeit geschaffen hat für sich selber.
So lange es aber keine auch nur im Ansatz anders lautende Info dazu gibt sehe ich keinen Grund das anzunehmen.
Also Angreifer hatten potentiell zugriff zu allen internen Systemen von 1Password.
Wie wird jetzt sicher gestellt, dass die nichts im Sourcecode von 1Password verändert haben?
Alle Security-Audits von vor dem Vorfall sind damit komplett wertlos, die Software muss als kompromitiert betrachtet werden bis sie vollständig neu überprüft wurde. Dass die Implementierung bisher sicher war, sagt ja nichts mehr über den aktuellen Zustand aus.
Danke Harry… Wenn man sich mit Deployment Workflows auskennt, weiß man, dass die Verschlüsselung nur die halbe Miete ist. Leider scheint das wirklich fast niemand zu verstehen.
Was denkt ihr denn wie beispielsweise viele Magecart Angriffe funktionieren? Da werden auch keine Datenbank Dumps mit verschlüsselten Kreditkarten-Daten gezogen und dann versucht diese zu entschlüsseln. Es wird beim Dienstleister eingebrochen, unbemerkt code auf der Website platziert und die Daten dann bequem angegriffen, ohne dass es irgendjemand mitbekommt. Genau das geht auch bei jedem beliebigen webbasierten Passwortsafe. Dann kommt kommt ein Javascript rein, was direkt nach dem Login die entschlüsselten Daten an den Angreifer schickt und schon bringt die beste Verschlüsselung nichts mehr. Manipulation am Code kann natürlich auch bei einem Desktopprogramm vorkommen. Hier kann ich aber wenigstens einfach per Firewall den Internetzugang blockieren.
Das soll jetzt auch gar nicht heißen, dass alle Online Passwort-Manager schlecht sind. Hier in dem Fall ist auch vielleicht alles okay, wenn nur ein Support Team ohne Zugriff auf den Code oder Systeme betroffen war. Aber man sollte eben schon die Risiken kennen, was laut den Kommentaren viele hier einfach nicht verstanden haben.
Mi,mi,mi,mi
So viel zum Thema Cloud und Eure Passwörter sind sicher, nicht einmal wir selbst kommen an die Daten ran…. Ich bleibe bei Version 7 bis es wieder in der neuen einen Offlinetresor gibt.
Entweder du vertraust 1Password oder nicht. Wenn du es in Version 7 tust, dann kannst du es auch in der Cloudversion machen. Wenn du 1Password nicht traust, dass die Verschlüsselung korrekt ist – gehackte Server sind egal, siehe Kommentare vorher oder 1PW Security Whitepaper – dann solltest du vielleicht für dich eine andere Lösung suchen.
Gehackte server sind nicht egal. Wie auch oben schon geschrieben. Javascript nach der Entschlüsselung manipulieren/einschläusen, entschlüsselte Daten bequem direkt aus dem Frontend raus exfiltrieren. Siehe Magecart und andere Angriffe. Da bringt dir auch die besten Verschlüsselung und das beste Whitepaper nichts.
Wo ist Dein Problem? Steht da etwas davon, dass Kundendaten oder gar deren Datenbanken kompromitiert wurden
wie sie immer alle davor warnen Passwörter in der Cloud zu speichern und es besser ist ein eigenes Passwort Safe zu benutzen, und alle zwei Wochen liest man dann von sicherheitslücken lol!
mein Google Passwort Safe ist in den letzten 10 Jahren genau null mal damit aufgefallen! 😀
Aber bildet euch mal weiter was drauf ein, ich vertraue da lieber der NSA Technik, da ich diese für kompetenter halte so etwas zu verwalten, und nein das ist kein Joke von mir. xD
Finde es etwas kurzsichtig, wie direkt alle E2E schreien.
Whatsapp nutzt auch E2E und trotzdem kann die USA direkt alles mitlesen wenn sie wollen.
Das passiert über einen implementierten Seitenkanal, welcher in der App eingebaut ist.
Theoretisch ist es genauso möglich in die App von 1Password so einen Seitenkanal einzubauen. Wenn die Version dann geshipped wird, bekommst du nach und nach alle encryptete passwörter.
Je nachdem wie weit die Angreifer im Netzwerk gekommen sind, ist es sogar wahrscheinlich, das so etwas versucht wurde.
Das kann dir aber mit jedem Softwareanbieter passieren und da ist es völlig egal ob offline oder online, ob Cloud oder nicht.
> Das kann dir aber mit jedem Softwareanbieter passieren
Ja, aber nur bei Open Source kannst du es auch prüfen.
Aber nur wenn man den Code selbst kompiliert und selbst hosted. Nur weil der Code an sich im GitHub „sauber“ ist, heißt das nicht, dass der ausgerollte Code es automatisch auch ist. Vielleicht hat ein Angreifer Zugriff auf die Cloudumgebung direkt und kann kleine Änderungen im Code direkt auf dem System vornehmen? Trotzdem könnte man natürlich offline Software einfach direkt schon via Firewall den Internetzugang sperren.
Firmen die von dem Okta-Hack betroffen sind, haben sich nachhaltig disqualifiziert für alles was irgendwie mit IT-Sicherheit zu tun hat! Dass eine Bude wie Okta überhaupt existieren kann, zeigt wie wenig Ahnung die Entscheider von den Grundlagen haben.
Es gibt so einiges, was man nicht in fremde Hände legen kann und ganz oben auf der Liste steht Zugangskontrolle. Gibt man das ab, gibt man die Kontrolle ab. Die Vergangenheit zeigt das doch recht eindrucksvoll… siehe Microsoft365, wo man neben seinen Daten ja auch die Zugangskontrolle komplett in die Hände von MS legt und vertraut. Bis jemandem aufgefallen ist, dass „die Chinesen“ Vollzugriff haben. Hätte man sich doch bloß nicht auf MS verlassen, sondern Okta damit betraut, zu entscheiden wer ein Mitarbeiter und wer ein Chinese ist, dann wäre das bestimmt nicht, oh, äh, ich muss dringen weg.
naja was ist denn die alternative? stell mir einen prozess vor, der in der heutigen zeit diese dienste überflüssig macht ohne komfort und sicherheit einzubüßen.
ich bin auch kein fan davon alles in die cloud auszulagern aber die vorteile überwiegen. man muss sich seine provider jedoch gut aussuchen. von microsoft halte ich nicht besonders viel und okta war mir bis zu diesem zwischenfall unbekannt. trotzdem setze ich zb privat und beruflich auf 1password, da ich den keepass-container auf notebook und smartphone nicht für sicherer halte. aktuell stelle ich diese entscheidung zwar noch in frage, werde aber wohl vorerst nichts dran rütteln.