Okta is een supportsysteem voor bedrijven dat onlangs te maken kreeg met hackers. Ook 1Password blijkt daardoor getroffen te zijn: het bedrijf meldt dat aanvallers toegang hebben gekregen tot het interne Okta-account. “Op 29 september detecteerden we verdachte activiteit op Okta dat we gebruiken om onze apps voor werknemers te beheren”, schrijft de CTO van 1Password. “We hebben de activiteit onmiddellijk beëindigd en onderzocht en hebben geen compromittering van gebruikersgegevens of andere gevoelige systemen gevonden, zowel voor medewerkers als voor gebruikers.”
Datalek bij supportsysteem 1Password
Okta is sinds afgelopen vrijdag in het nieuws omdat kwaadwillenden de inloggegevens hadden gestolen van het interne supportsysteem van Okta. Het bedrijf heeft klanten zoals Slack, Zoom, GitHub, Peloton en dus ook 1Password. 1Password heeft samen met Okta gezocht naar de oorzaak van het lek, waarbij de hack bij Okta zelf boven water water kwam. De hackers kregen toegang tot het Okta-account van 1Password via een HTTP Archive-bestand, dat op verzoek van de Okta-klantenservice was gemaakt. Met de sessiecookies die in dit bestand aanwezig waren konden de hackers toegang kregen tot bepaalde bestanden. Uit de inventarisatie blijkt dat de hackers geen toegang hebben gekregen tot andere systemen dan die van Okta.
De hackers zouden vooral hebben rondgekeken, waarschijnlijk met het doel om op een later moment een grotere aanval te doen. Nadat de hackers een overzicht van admingebruikers van 1Password opvroeg bij Okta, werd de hackpoging opgemerkt door een IT-medewerker van 1Password. Het securityteam van 1Password kwam daarna in actie om eventuele verdere aanvallen te stoppen. 1Password heeft sessie-data gewist en de inloggegevens van de Okta-gebruikers met admin-rechten gewijzigd. De beveiligingsinstellingen van Okta zijn ook aangescherpt, waardoor bijvoorbeeld de sessietijd van admin-gebruikers veel korter is. Verder is het aantal super-admins ingeperkt.
Wat kun je doen als 1Password-gebruiker?
Het korte antwoord: niets. Als gebruiker van 1Password ben je niet direct getroffen door deze aanval. 1Password claimt dat er alleen in interne administratieve systemen van 1Password is gekeken. Er is dus geen toegang geweest tot gebruikersdata en ook niet tot wachtwoordkluizen van gebruikers. Het is dan ook niet nodig om in paniek te raken of om haastig je hoofdwachtwoord te wijzigen.
Okta is een tool dat alleen intern door het bedrijf zelf wordt gebruikt en dat helemaal los staat van de systemen waarop de gebruikersdata wordt opgeslagen. Bovendien zijn de gebruikersdata versleuteld en heb je een hoofdwachtwoord nodig om toegang te krijgen tot je data. Dit hoofdwachtwoord zit (als het goed is) alleen in jouw hoofd en is uniek. Een hacker kan dit niet raden of achterhalen op basis van data die op de servers van 1Password staat.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Game over voor Mythic Quest: langlopende Apple TV+ serie stopt plotseling (maar met een nieuw einde) (15-04)
- Weekend kijktips: Doctor Who, Friends & Neighbors, Black Mirror en meer (12-04)
- Apple TV+ vanaf nu via Amazon Prime Video af te sluiten in Nederland (met een flinke korting) (09-04)
- Wanneer werkt Apple Intelligence in het Nederlands? Dit is wat we nu weten (07-04)
- Weekend kijktips: Number One on the Call Sheet, Banger, The Operative en meer (05-04)
1Password
1Password is een van de bekendste wachtwoordenapps voor iPhone, iPad en Mac. De app wordt gemaakt door AgileBits en loopt vaak voorop met nieuwe functies. Met 1Password kun je wachtwoorden, creditcardnummers en andere vertrouwelijke informatie veilig opslaan. 1Password werkt ook samen met passkeys (toegangssleutels). Hieronder zie je onze belangrijkste artikelen over 1Password. Alternatieven zijn LastPass en Dashlane of natuurlijk Apple's eigen iCloud Sleutelhanger.
Ook interessant
Opgepast: dit lek in 1Password voor Mac wil je snel dichten
Zo gebruik je 1Password op de Apple Watch
Een sterk master password kiezen voor 1Password, LastPass en meer
1Password heeft nu uitgebreide passkey-ondersteuning in iOS 17
1Password: wat is het, wat kun je ermee?
1Password 8 voor iOS heeft een nieuw design en breidt de Watchtower-functie uit
Echt waanzin dit. Gebruik deze app al een tijdje maar twijfel nu om over te stappen naar een andere. Lijkt wel of geen enkele app bestand is tegen hackers… hoe moet je anders je wachtwoorden veilig opslaan?
In de iCloud sleutelhanger, zie Apple nog niet zo snel gehackt worden.
@Dani: Zodra overal Passkeys werkt is het probleem opgelost, dan heb je geen wachtwoord manager meer nodig. Zelf ben ik al geen fan van het opslaan van alle persoonlijke gegevens op andermans server. Om die rede gebruik ik er Safe In Cloud waarbij ik zelf de keuze kan maken of ik die met een cloud-service wil kopiëren of rechtstreeks met een internet schijf of NAS apparaat. De desktopversie van Safe In Cloud is altijd gratis, dus je kan hem sowieso goed uitproberen. Alle velden zijn aanpasbaar naar eigen wens. Voor een éénmalige zeer schappelijke prijs schaf je de app aan die te gebruiken is op iPhone, iPad enz.
@hans: dit zou wel echt een top app zijn, kan deze ook kdbx bestanden uitlezen? (KeePass).
Wel jammer dat je niet een database uit je bestanden kan halen op de iPhone, ik heb mijn NAS via quickconnect gekoppeld aan de bestanden app, zo sync ik nu ook het keepass bestand met KeePassium. maar deze PRO versie is duur en wil ik niet aanschaffen
Nochtans is 1Password nog steeds de beste en meest veilige password manager die er is. Alle data wordt versleuteld en ze hebben géén toegang tot jouw accounts. Het is ook de enige speler die met een extra pijler werkt (de Secret Key) naast een wachtwoord en 2FA (of een hardware key). Onmogelijk te hacken met de bestaande super computers.
Ze communiceren ook gewoon eerlijk over een datalek (is bij andere diensten wel anders geweest…).
Zie: https://support.1password.com/1password-security/
En kiezen voor Apple omdat ze groot zijn, is geen goede waardemeter…
@swen: Ik meen van wel maar het beste is om de App even te downloaden op een desktop met Windows of MacOs, dan kan je zien of hij bestanden uit KeePass kan importeren.
Heb je het artikel überhaupt gelezen?
1Password claimt dat er alleen in interne administratieve systemen van 1Password is gekeken. Er is dus geen toegang geweest tot gebruikersdata en ook niet tot wachtwoordkluizen van gebruikers. Het is dan ook niet nodig om in paniek te raken of om haastig je hoofdwachtwoord te wijzigen.
Paniek om niks.
Thanks voor de tip. Zal er deze week eens naar kijken 👍🏽
@Frits de groot: jij bent de iCloud hack met foto’s van beroemdheden een paar jaar terug vergeten? Apple wordt net zo goed gehacked.
Tsja. Ik ben blij dat 1Password niet elk randsysteem wat ze nodig hebben zelf in huis ontwikkelt, het is al duur genoeg.
En dan loop je extra risico dat er dus een ingehuurd populair systeem een keer geraakt wordt door hackers. Volgens mij hebben ze hun wachtwoordenkluizensysteem prima op orde en is dit ook transparant naar gebruikers.
Ik schrijf 1Password hier niet om af.
@Spammert: Dat was geen hack. Men had gewoon wachtwoorden geraden