密码管理公司 OneLogin 遭入侵,大量账号密码泄露

  据外媒报道,周三(5月31日)密码和身份访问管理公司 Onelogin 承认,公司遭遇了数据泄露,并且数据量不小。

数据泄露似乎不少见,但这家公司数据泄露,事情却不简单,因为他们的业务非常特殊。

密码和身份访问管理服务是什么?雷锋网先简单解释一下:

我们工作生活中有各种各样的账号密码,记不住,且容易输错。这时密码管理工具出现了,它可以帮你把所有账号密码记在软件里,有点像是把所有账号密码写在一个小本子上。

但是密码管理和小本子不完全一样,它还可以通过技术手段实现“单点登录”、“自动填充账号密码”等功能,让人们在上任何网站时都只需要同一个密码,甚至只需轻轻一点就能登录所有网站,方便至极。

于是有人指出问题了:把所有密码放在一起,不就等于把鸡蛋放在一个篮子里么?

呃……理论上确实如此,不过这些密码管理服务通常会做很多安全工作,比如把数据加密。但是也只能将风险降至很低,无法彻底杜绝数据泄露。这不,Onelogin 就出事了。

出了什么事?

市面上的身份管理软件大致可分成两类:本地存储和云端存储。

本地存储,就是只提供密码管理工具,不提供密码管理服务。可以理解为只提供篮子给用户装鸡蛋,至于用户把篮子放家里,还是放在大街上,一概不管;

云端存储,就是提供密码管理工具同时提供密码管理服务,不仅提供篮子给用户,还会把所有的篮子都放在他们自家的安全仓库(数据中心服务器)里统一看管。

Onelogin 就是后面这种,他们会把用户的所有账号密码和身份信息都统一存储在数据中心。但是他们没有看管好自家仓库,结果有黑客溜进了他们存储美国区域数据的“仓库”,偷走了里面所有装满鸡蛋的篮子。

雷锋网(公众号:雷锋网)了解到,Onelogin 公司在其发布的公告里表示:

美国的数据存储区域检测到了未经授权的访问数据。

简而言之就是发现有人成功入侵过。

虽然公告中没有说清楚到底有什么数据被黑客窃取,不过在他们发送给客户的支持页面中却清清白白地写明,所有存储在美国数据中心的客户数据都已经失窃

在他们发送给用户的邮件中写道:

用户数据遭到了盗用,包括解密加密数据的能力。

也就是说,黑客不仅偷走了被加密的数据,还可能盗走了解密用的密钥,所有的加密措施完全失效。

据雷锋网了解,Onelogin 的主要业务是为企业提供账号安全服务,数据库一旦失窃,意味着他们的企业用户的所有账号密码都面临威胁。相信在看到数据泄露公告时,他们的企业客户都忍不住跳起来说脏话。

目前,Onelogin 公司已经联系相关安全公司和执法部门在紧急处理此事并探讨和验证事件的影响程度。同时发出通告,告知所有客户重置所有密码。

账号管理的矛盾

其实账号身份统一管理的安全争议和质疑一直都在。

每个网站都有各自独立的账号密码体系,而且要求使用复杂密码,这对用户简直是种折磨;

▲ 多少人面对密码框抓狂过?

可是账号统一之后,一旦该账号被盗,所有全军覆没;把所有密码统一放在密码管理器里,一旦被盗,也是全军覆没。

而且,即使不用密码管理软件,同样会出现问题。2016年移动安全报告显示,有七成以上用户在几乎所有网络账号都使用同一用户名与密码。这又何尝不是另一种形式的“鸡蛋放在一个篮子里”呢?而这也是“撞库”事件频发的主要原因。如果无论如何鸡蛋都在同一个篮子里,唯一的办法就是把篮子做得更安全难以攻破。

虽然这次发生数据泄露的是一家美国公司,且并没有在中国大量开展业务,但相信此次事件依然给国内做类似业务的公司敲了一个警钟。

   

本文作者:谢幺

本文转自雷锋网禁止二次转载,原文链接

时间: 2024-09-19 05:28:59

密码管理公司 OneLogin 遭入侵,大量账号密码泄露的相关文章

日参院服务器遭侵入 参议员账号密码或外泄

中新网11月22日电 据共同社报道,有关日本国会议员的电脑等相继收到攻击性邮件一事,日本参院事务局21日宣布,由于参院两台网络服务器遭到非法访问,所有参议员和秘书的账号及密码可能被盗.据该事务局透露,保密调查公司对已感染或可能感染病毒的29台电脑中的5台进行了分析.结果发现在历史通信记录中,8月上旬至10月下旬期间,管理账号信息的域名服务器有遭非法访问的痕迹.据悉,负责网络监控的其他服务器也出现了类似痕迹.域名 服务器管理着议员和秘书约700人的账号及密码,包括负责管理系统的管理员账号.该事务局

手机淘宝密码在哪修改?淘宝账号密码修改方法

1.我们在手机中安装一个 安全中心 之后才可以修改 淘宝密码 哦; 2.我们在安全中心软件安装好了打开然后再账号绑定,输入自己的淘宝账号,选择短信绑定; 3.然后如下我们点击 账号保护 进入打开,如图; 4.在进入到下一个界面中会看到有一个 账号保护一栏里,然后改密码; 5.然后在此输入新密码,如图所示. ps:除了这种方法之外我们还可以直接利用忘记密码进行修改了,同时还可以到pc电脑上去登录淘宝PC端之后修改密码,两个同步的哦.

WordPress服务器遭入侵VIP客户源代码泄露

北京时间4月14日早间消息,WordPress周三透露,有黑客侵入了部分WordPress.com服务器,导致其VIP客户源代码外泄.WordPress.com因此警告所有VIP客户修改所有密码和API密钥. WordPress在一份发表于官方网站的声明中说,"我们已经详细评估了有关这次入侵的记录文档,以确认信息外泄的程度.我们估计我们的源代码已经外泄并被复制.尽管WordPress大部分代码是开源的,但我们和合作伙伴还拥有一些敏感代码.除此之外,信息的外泄是有限的." 在此次事件中可

WordPress服务器遭入侵 VIP客户源代码泄露

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 北京时间4月14日早间消息,WordPress周三透露,有黑客侵入了部分WordPress.com服务器,导致其VIP客户源代码外泄.WordPress.com因此警告所有VIP客户修改所有密码和API密钥. WordPress在一份发表于官方网站的声明中说,"我们已经详细评估了有关这次入侵的记录文档,以确认信息外泄的程度.我们估计

Win8系统账号密码如何快速设置

  大家平时在使用电脑的时候,一般为了保护个人的隐私就会设置账号密码,可以防止被别人盗用.由于Win8系统是最新的操作系统,和w764位旗舰版有一定的差别,因此不少用户对于这种新系统有点陌生,不知道该怎么去设置账号密码.那么到底Win8系统账号密码如何快速设置呢?下面就一起来学习下具体的设置方法吧. 1.打开计算机,然后进入控制面板,直接点击里面的"用户账户和家庭安全"选项. 2.接着再单击"用户账户"选项. 3."用户账户"打开之后,点击里面的

英雄联盟遭入侵 暴雪友情提醒修改密码

日前暴雪欧服战网发飙了一个安全警示公告,声称<英雄联盟>的开发者Riot Games最近宣布他们的欧洲服务器数据库遭到了非法入侵,部分玩家信息被窃取,暴雪为此友情提醒广大玩家修改自己的战网账号密码.战网蓝贴内容 如下:Riot Games最近宣布,欧服数据库遭到了非法入侵,部分<英雄联盟>(League of Legends)的玩家账号信息被窃取的消息相信很多玩家都已经知道了.Riot Games被盗的数据中包含有电子邮件以及加密过的密码,其中有一半以上的密码 是因为过于简单被盗的

493 万 Gmail 账号密码遭泄 谷歌否认存安全漏洞

据国外媒体报道,周二近493万的Gmail用户账号和密码被发布到了俄罗斯的比特币论坛上.不过谷歌公司并不认为Gmail有任何安全漏洞. 谷歌发言人表示,"我们用户的信息安全是头等大事.没有任何证据表明,我们的系统被入侵过.但如果我们发现任何帐户有可能已经受到安全威胁,我们就会采取适当措施对其进行保护." 发布这些账号密码的比特币论坛用户,表示这其中约60%是有效的.许多人可能此前已经改变过他们的密码,某些帐户可能已经被废止.谷歌建议启用两步验证,并给出建议 "不管你是否是在名

很多人根本不在意自己的账号密码是否安全

即使在经历了无数的黑客盗密事件之后,还是有很多人不知从中吸取教训,抑或是很多人根本不在意自己的账号密码是否安全!他们一直用着最简单最易记的密码,而这些往往也是账号密码被盗的主要原因.那么,你知道容易被盗,但又十分受欢迎的密码都有哪些吗?本文将为你揭开谜底.10月4日,报道称Adobe公司系统遭黑客入侵,被盗的用户账号和密码达3800万!另外,据英国广播公司(BBC)消息,"123456"是最受Adobe用户"欢迎"的密码,没有之一,使用这一密码的人数多达190万.本

45万用户密码被盗 雅虎遭用户起诉讨说法

http://www.aliyun.com/zixun/aggregation/17197.html">北京时间8月2日消息,据国外媒体报道,针对美国最大的门户网站雅虎的45万用户名和密码遭黑客盗窃一事,一位雅虎用户日前把公司告至美国加利福尼亚州圣何塞联邦法院,并提出了索赔要求. 用户杰夫·艾伦(Jeff Allan)在诉讼中表示,雅虎未能采取适当措施保护自己的个人信息.原告在诉讼中要求法院判处雅虎向他和其他用户提供补偿,用于可能出现的账户欺诈,以及为保护处于危险中的账户所采取的措施.原告