密码管理器OneLogin遭遇黑客攻击,企业客户敏感数据已被泄漏

本文讲的是密码管理器OneLogin遭遇黑客攻击,企业客户敏感数据已被泄漏,OneLogin是一家为用户提供SSO(单点登录)服务的公司,近日该公司发生了黑客入侵事件。

OneLogin首席安全官Alvaro Hoyos在一篇简短的博客文章中表示,他们已经意识到其美国用户的数据遭到了攻击者“未经授权的访问”,并已经向相关用户发出了安全通知。

Hoyos表示,公司已经在发现问题的第一时间,采取行动阻断了未经授权的访问行为,并正在与执法部分进行合作彻底调查此次事件。

该公司最初发布的博客文章并未阐述过多与此次事件相关的详细信息,其发送给客户的告警电子邮件也只是说明,

OneLogin认为,所有由我们美国数据中心提供服务的客户都受到了影响,客户的数据也可能会受到影响。

后来,该公司又在当天晚些时候表示,

我们的审查结果表明,一个威胁行动者已经获取了一组亚马逊Web服务(AWS)密钥的访问权限,并使用它们访问AWS API。

OneLogin证实,攻击行为似乎开始于凌晨2点,但是工作人员在7小时后才受到异常数据库行为的警告。该公司发言人表示,

我们已经在接收到告警信息几分钟内,关闭了受影响的实例以及用于创建它的AWS密钥。”

该公司继续补充道,

威胁行为者能够访问包含有关用户、应用程序和各种类型的密钥信息的数据库列表。虽然一些静态敏感数据都进行了加密处理,但是我们不能排除黑客已经具备解密数据能力的可能性。

目前,OneLogin新闻发言人并没有明确哪些数据是没有进行过加密的,我们要求获取明确答复,该公司尚未做出回应。

据悉,OneLogin已经向用户发出安全公告,建议用户即使更改密码,为其服务生成新的API密钥,并创建用于登录账户的新OAuth令牌以及新的安全证书。该公司还表示,其Secure Notes功能(通常被IT管理人员用于存储敏感的网络密码)中存储的信息可以被解密。

目前OneLogin尚未公布究竟有多少用户受到此次威胁影响,但是根据其官网所示,其客户包括ARM、Dun&Bradstreet、The Carlyle Group、Conde Nast以及Dropbox(发言人在电子邮件中提出了异议,是否为其用户有待考究)等数十家主要的跨国公司。

OneLogin允许企业用户通过一个密码访问多个Web应用程序、站点和服务。据CrunchBase认为,该公司为数十个国家的2,000多家公司的数百万用户提供服务。

据悉,该单点登录提供商集成了数百种不同的第三方应用程序和服务,如Amazon Web Services、Microsoft Office 365、LinkedIn、Slack、Twitter以及Google服务等。

而此次并不是OneLogin头一遭遭遇此类安全问题,去年8月,该公司就警告其用户称其“Secure notes”服务遭到“未经授权的用户”访问,但拒绝承认有任何用户数据遭到泄漏或盗用。

OneLogin所提供的Secure notes,是为个人用户提供的记事本工具,可以以加密形式,在服务器上存储文本信息。在OneLogin的官网上,他们甚至建议用户将自己的密码或者证书密钥等信息存储在Secure notes上。

当时,OneLogin的首席信息安全官Alvaro Hoyos说,

Secure note 使用的是AES-256加密,然而系统中的漏洞却导致存于Secure notes上的文本可以被以明文的形式,在日志中被查看。

在服务器被攻陷期间,取得权限的黑客可以利用该漏洞,查看和编辑Secure notes上的信息。

原文发布时间为:2017年6月3日

本文作者:小二郎

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-10-02 09:02:35

密码管理器OneLogin遭遇黑客攻击,企业客户敏感数据已被泄漏的相关文章

LastPass已采取措施阻止针对密码管理器的网页钓鱼攻击

安全研究员Sean Cassidy最近发现有针对热门密码管理器LastPass的钓鱼攻击,而这件事也已经引起了后者的注意.为了帮助减轻被钓鱼的风险,LastPass决定增加额外的步骤.Cassidy所说的"LostPass攻击",是指在浏览器上显示的LastPass信息很容易伪造,在将受害者引诱至一个精心编造的恶意站点后,终端用户很难分辨它们的真假. 如果用于已经安装了LastPass,那么攻击者就会伪造一个登录过期的通知,欺骗用户需要重登陆.然后,它只需要静静等待用户输入登录凭证.即

密码管理器的攻防博弈

作为一个会每天访问Freebuf网站的人,或者说是一个对信息安全感兴趣的人,肯定会知道一位用户所有的网络账号不应该都使用相同的密码,这也是一个最基本的安全常识.可是那然后呢? Clipboard Image.png 前言 那么为了让每一个账号都能拥有一个健壮的密码,你可能就需要用到密码管理器了.也许当你第一次使用密码管理器的时候,你心里会有些忐忑不安,毕竟你将所有的密码都放在了这一个地方,而你又可以跨设备跨平台地通过云端来同步自己的密码,这种便捷性肯定会让每一个用户对密码管理器的安全产生质疑.

密码管理器反而导致密码泄露,LastPass扩展成罪魁祸首

3月22日讯 密码库LastPass已经对其高危安全漏洞进行修复,各恶意网站此前已经利用这些漏洞窃取到数百万条受害者密码内容. 密码管理器反而导致密码泄露,LastPass扩展成罪魁祸首-E安全 这项安全漏洞由一名来自谷歌Project Zero项目安全团队的白帽黑客Tavis Ormandy所发现.他通过研究指出,LastPass Chrome扩展中存在一个可利用的内容脚本,将导致恶意网页能够从该管理器内提取到密码内容. 谷歌Chrome插件LastPass的作用在于将用户的密码存储于云端.其

在线密码管理器LastPass被黑

本文讲的是 在线密码管理器LastPass被黑,在线密码管理器LastPass公司在上周五公布了其网络被黑事件,LastPass用户将会看到建议修改主密码的弹出框. 经过深入调查公司安全团队检测到的"可疑活动",LastPass公司在周一发布的一篇博客帖子中透露了此次遭受攻击事件.调查并未发现有任何迹象显示攻击者盗取了用户密码库中的加密数据,LastPass用户账户也并未被侵入者染指.即便如此,攻击者依然偷取了账户电子邮件地址.密码提示信息.用户服务器salt值和身份认真散列值. 后两

在线密码管理器LastPass遭入侵 官方建议修改主密码

LastPass致用户:请更改你的主密码,并立即启用双因素身份验证! 作为当前全球最热门的密码保管服务之一,LastPass公司周一警告称,攻击者攻破了运行公司密码管理服务的设备,并盗取了用户的受保护密码及其他敏感的数据.这是在过去四年中该服务器第二次发生数据泄露情况. LastPass用户数据泄露 LastPass CEO Joe Siegrist在博客中写道:总之,未知的攻击者获得了用户哈希密码.加密加盐.密码提示以及电子邮箱地址.他强调没有证据显示攻击者能够进入存放用户纯文本密码的地方.因

英国议会邮箱系统遭遇黑客攻击,超过90人电子邮箱被入侵

本文讲的是英国议会邮箱系统遭遇黑客攻击,超过90人电子邮箱被入侵, 英国议员邮箱遭遇黑客入侵 近日,据外媒报道称,英国议会电子邮件系统遭遇黑客攻击,至少90名议员和其他工作人员的电子邮箱账户遭到黑客入侵,试图窃取邮件信息. 事件发生后,议会安全服务部门已经采取了网络防范措施,临时关闭了对其网络的远程访问(威斯敏斯特以外的访问)来保护电子邮箱账户,并联系英国国家网络安全中心(NCSC)展开调查. 议会发言人表示, 我们发现未经授权访问议会网络用户的行为后,便着手调查这一事件,并与国家网络安全中心进

小心你的密码管理器 LastPass曝出安全漏洞

今天,各种各样的金融账户.网络帐户.个人信息都需要用到密码,但对于大多数人来说,常用的密码十分有限,而且一旦使用长一些.复杂一些的新密码后,往往一段时间过后便被忘的一干二净.所以,目前有数以百万计的人依靠密码管理器来保存他们的密码,并帮助他们保障其各类网络帐户的安全.不过,密码管理器也不是万能的,近期一款流行的免费密码管理器--LastPass就被曝出了安全漏洞,使用它的用户需要多多注意了. 警惕密码管理器漏洞 上周,来自Google(谷歌)安全团队的研究人员Tavis Ormandy,发现了L

遭黑客攻击企业应负法律责任:督促重视安全

导语:科技网站Ars Technica周末刊文称,黑客组织LulzSec近期发动了一系列攻击,这表明软件行业在信息安全方面的工作还有很多不足.分析认为,追究相关企业的法律责任将有助于解决信息安全问题. 以下为文章全文: 如果你开发的软件被黑客攻击,那么你是否会是受害者?在软件行业发展的早期,答案通常是否定的.软件许可协议通常会撇清相关责任,而安全漏洞则被认为是软件的正常一部分.当问题被发现时,开发者会尽快修复问题,但他们通常并不会成为黑客攻击造成损失的受害者. 然而这一情况正在迅速改变.近期,由

谁是互联时代的最佳密码管理器?

  好像称赞KeePass Password Safe已经持续了好多年了,这是一款开源免费的存储软件,可以用来存储你网页中全部密码与相关笔记.你可以在不同的设备上同步你的KeePass,我们同样建议读者可以将其数据库存储到Dropbox中.不过我们最近十分好奇与KeePass相比,另一款著名的浏览器密码管理器LastPass作为一站式的解决方案,是否在使用上更高级一些.为此在这个月,我们邀请了两位试用者来进行一次针锋相对的测试. 第一轮对决:设置 KeePass是一款很直截了当的数据库.在选择你