OneLogin ID Manager被黑客攻击,客户数据暴露

时间:2020-01-13  author:翟羿  来源:欧洲杯官网  浏览:92次  评论:178条

OneLogin是一个管理站点和服务登录的在线平台,它 ,客户信息遭到破坏,加密数据面临被解密的风险。

OneLogin周三了该漏洞,当时它遭到“未经授权访问”其在美国的一个数据中心。 该公司表示正在对违规行为进行调查,但对细节进行了调查。

阅读:

“我们已经通过特定的建议补救措施与受影响的客户联系,并积极致力于确定如何最好地防止此类事件在未来发生,并在实施这些改进时更新我们的客户,”OneLogin首席信息安全官Alvaro Hoyos在一篇博文中写道。

Hoyos表示,该公司已向执法机构报告违规情况,并“正在与一家独立的安全公司合作”以确定攻击的程度。 “我们希望客户知道他们对我们的信任是至关重要的。”

在发送给遭受违规行为影响并且客户的电子邮件中,OneLogin提供了一个更完整的图片,说明安全失效的严重程度。 “客户数据受到了损害,包括解密加密数据的能力,”电子邮件指出。

OneLogin在44个国家拥有2,000家公司,300多家应用程序供应商和70多家软件即服务提供商。 该公司提供单一登录功能,允许用户从单一平台管理多个帐户。

阅读:

来自公司的消息还向客户提供了一系列步骤,以尽量减少违规造成的损害。 OneLogin鼓励用户生成新的API(应用程序接口)密钥和OAuth(开放授权)令牌,创建新的安全证书和更新密码。

OneLogin还建议用户回收其安全备注功能中存储的任何重要信息。 OneLogin对该功能的称,Secure Notes旨在“安全地存储许可证密钥和防火墙密码等信息”。

去年,OneLogin ,允许入侵者以明文方式访问Secure Notes。 在这种情况下,似乎那些安全注释和其他信息可能再次处于危险之中,因为该公司指出加密的用户信息可以被解密。

网络安全专家,身份识别管理公司Trusona的创始人兼首席执行官Ori Eisen告诉国际商业时报,“最新的OneLogin漏洞不应该让任何人感到惊讶。”

Eisen指出,静态用户名和密码,无论是手动输入还是信任单一登录服务(如OneLogin),都是不安全的,因为它们几乎可以在任何时候受到攻击。

“OneLogin等解决方案的问题在于您依靠一个密码来保护所有密码。 一旦违反了网守密码,你就会把其他一切都置于危险之中。“艾森建议组织需要”超越静态用户名和密码作为保护信息的方式“,以确保安全。


最近更新

本类推荐

本类排行