密码管理公司 OneLogin 遭入侵,大量账号密码泄露

简介:
   据外媒报道,周三(5月31日)密码和身份访问管理公司 Onelogin 承认,公司遭遇了数据泄露,并且数据量不小。

数据泄露似乎不少见,但这家公司数据泄露,事情却不简单,因为他们的业务非常特殊。

密码和身份访问管理服务是什么?雷锋网先简单解释一下:

我们工作生活中有各种各样的账号密码,记不住,且容易输错。这时密码管理工具出现了,它可以帮你把所有账号密码记在软件里,有点像是把所有账号密码写在一个小本子上。

但是密码管理和小本子不完全一样,它还可以通过技术手段实现“单点登录”、“自动填充账号密码”等功能,让人们在上任何网站时都只需要同一个密码,甚至只需轻轻一点就能登录所有网站,方便至极。

密码管理公司 OneLogin 遭入侵,大量账号密码泄露

于是有人指出问题了:把所有密码放在一起,不就等于把鸡蛋放在一个篮子里么?

呃……理论上确实如此,不过这些密码管理服务通常会做很多安全工作,比如把数据加密。但是也只能将风险降至很低,无法彻底杜绝数据泄露。这不,Onelogin 就出事了。

出了什么事?

市面上的身份管理软件大致可分成两类:本地存储和云端存储。

本地存储,就是只提供密码管理工具,不提供密码管理服务。可以理解为只提供篮子给用户装鸡蛋,至于用户把篮子放家里,还是放在大街上,一概不管;

云端存储,就是提供密码管理工具同时提供密码管理服务,不仅提供篮子给用户,还会把所有的篮子都放在他们自家的安全仓库(数据中心服务器)里统一看管。

Onelogin 就是后面这种,他们会把用户的所有账号密码和身份信息都统一存储在数据中心。但是他们没有看管好自家仓库,结果有黑客溜进了他们存储美国区域数据的“仓库”,偷走了里面所有装满鸡蛋的篮子。

雷锋网(公众号:雷锋网)了解到,Onelogin 公司在其发布的公告里表示:

美国的数据存储区域检测到了未经授权的访问数据。

简而言之就是发现有人成功入侵过。

虽然公告中没有说清楚到底有什么数据被黑客窃取,不过在他们发送给客户的支持页面中却清清白白地写明,所有存储在美国数据中心的客户数据都已经失窃

在他们发送给用户的邮件中写道:

用户数据遭到了盗用,包括解密加密数据的能力。

也就是说,黑客不仅偷走了被加密的数据,还可能盗走了解密用的密钥,所有的加密措施完全失效。

据雷锋网了解,Onelogin 的主要业务是为企业提供账号安全服务,数据库一旦失窃,意味着他们的企业用户的所有账号密码都面临威胁。相信在看到数据泄露公告时,他们的企业客户都忍不住跳起来说脏话。

目前,Onelogin 公司已经联系相关安全公司和执法部门在紧急处理此事并探讨和验证事件的影响程度。同时发出通告,告知所有客户重置所有密码。

账号管理的矛盾

其实账号身份统一管理的安全争议和质疑一直都在。

每个网站都有各自独立的账号密码体系,而且要求使用复杂密码,这对用户简直是种折磨;

密码管理公司 OneLogin 遭入侵,大量账号密码泄露

▲ 多少人面对密码框抓狂过?

可是账号统一之后,一旦该账号被盗,所有全军覆没;把所有密码统一放在密码管理器里,一旦被盗,也是全军覆没。

而且,即使不用密码管理软件,同样会出现问题。2016年移动安全报告显示,有七成以上用户在几乎所有网络账号都使用同一用户名与密码。这又何尝不是另一种形式的“鸡蛋放在一个篮子里”呢?而这也是“撞库”事件频发的主要原因。如果无论如何鸡蛋都在同一个篮子里,唯一的办法就是把篮子做得更安全难以攻破。

虽然这次发生数据泄露的是一家美国公司,且并没有在中国大量开展业务,但相信此次事件依然给国内做类似业务的公司敲了一个警钟。

   

本文作者: 谢幺
本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
11月前
|
安全 网络安全 数据安全/隐私保护
OKCC如何防范系统被盗打
市面上很多操作系统都内置有黑客工具。很多人安装操作系统时,为图方便或疏忽大意,下载的操作系统来源不明,就留下了隐患。客户安装OKCC时,安装的操作系统带有挖坑程序。 选择通信系统时,我们应尽量选择注重服务的供应商。在没有强有力的技术团队时,以及特别注重产品性能、稳定性时,应尽量减少或避免使用开源通信系统。一般的,开源通信系统的特点是搭建成本低,但是学习/维护成本高,当学习/维护成本投入不足,开源系统中的配置陷阱、BUG就会被心怀叵测之人利用从而导致损失,很多情况下,因这种损失带来的不仅仅是话费上的直接损失,还包括员工的人力成本损失、时间成本/机会成本的损失、业务延误的损失。 很多盗打者是通
|
安全 小程序 Linux
黑客是怎么知道你的密码的
在踏入网络安全领域之前,我也和周围的很多人一样很奇怪,键盘上的组合这么多,黑客是怎么知道我的密码的。其实这一切就是这么简单。 首先,要声明,我不是黑客啊,不要误会,从不干任何违法的事。然后再说一下,任何的防护都是有漏洞的,无数的大佬已经用行动证明了世界上没有不透风的墙,安全永远只是相对的。下面是一些常用的破解密码的方法。
黑客是怎么知道你的密码的
|
安全 数据安全/隐私保护
Facebook再遭黑客攻击 部分账户密码被盗
5月18日消息,目前大受欢迎的社交网站Facebook日前再次受到黑客骚扰,大约200万用户成为了他们的攻击对象,黑客获得了部分用户的密码信息。 据国外媒体报道,Facebook发言人表示,目前网站已经处理了大部分由攻击造成的问题。
861 0
|
Web App开发 安全
专家:警惕手机黑客冒充服务商骗取帐户信息
6月2日消息,大多数人觉得使用手机访问银行帐户的方式是比较安全的,但日前安全专家提醒用户,黑客可能会通过冒充服务商获取用户的机密信息,进而威胁用户的银行帐户安全。 据国外媒体报道,业内人士指出,虽然目前使用手机访问帐户的用户尚在少数,因此风险看上去还不是很大,但是值得注意的是,使用手机网络的用户正在迅速增加。
783 0
|
数据安全/隐私保护 C++ Windows
|
安全 数据安全/隐私保护
|
存储 安全 数据安全/隐私保护
密码管理器OneLogin遭遇黑客攻击,企业客户敏感数据已被泄漏
本文讲的是密码管理器OneLogin遭遇黑客攻击,企业客户敏感数据已被泄漏,OneLogin是一家为用户提供SSO(单点登录)服务的公司,近日该公司发生了黑客入侵事件。
1453 0