https://blog.1password.com/okta-incident/
太长不看版:
1Password 在他们员工的应用里用了 Okta 的服务。然后有个员工给 Okta 开了 Support Ticket ,并且在里面上传了浏览器的 HAR 。
后来有人用这 HAR 里的 Cookie 试图访问 1Password 在 Okta 的账户,并且生成 admin report ,这时候 Okta 的系统给 1Password 的 IT 发了生成报告的邮件通知。1Password 的 IT 知道自己没干这事,直接通知了安全团队,然后开始查漏洞。
而且,根据 1Password 的报告 https://blog.1password.com/files/okta-incident/okta-incident-report.pdf Okta 声称根据 log ,他们这个 HAR 文件在出事以前并没有被他们的工程师访问过。所以有人怀疑 Okta 的系统是不是连 log 都能被人清了。。。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.