L'hack di OneLogin era serio e ci ha insegnato una lezione

Annuncio pubblicitario

Siamo grandi fan di gestori di password Come i gestori di password mantengono le tue password al sicuroAnche le password difficili da decifrare sono difficili da ricordare. Vuoi essere al sicuro? Hai bisogno di un gestore di password. Ecco come funzionano e come ti tengono al sicuro. Leggi di più qui su MakeUseOf. Ti semplificano la vita, accelerano molti processi e migliorano la tua sicurezza. Ma concentrano anche le tue informazioni sensibili sulla password in un unico posto - e questo può essere pericoloso.

Caso in questione: OneLogin, il produttore di un'app single sign-on e di gestione password a livello aziendale, è stato violato il 31 maggio 2017. E questa è davvero una brutta notizia. Ecco cosa è successo, cosa dovresti fare e alcune lezioni che possiamo imparare.

Cosa è successo a OneLogin?

Ecco cosa dice OneLogin:

"... un attore di minaccia ha utilizzato una delle nostre chiavi AWS per ottenere l'accesso alla nostra piattaforma AWS tramite API da un host intermedio con un altro fornitore di servizi più piccolo negli Stati Uniti ..."

Cosa significa? Significa che qualcuno stava esaminando i dati sensibili di OneLogin. E mentre molti di questi dati sono crittografati, OneLogin ritiene che gli aggressori siano stati in grado di decrittografare almeno alcuni dei dati.

Non appena i tecnici di OneLogin hanno rilevato l'intrusione, hanno chiuso i sistemi che erano stati infiltrati. Sfortunatamente, è stato riferito che non hanno rilevato l'intrusione fino a sette ore dopo l'inizio. È molto tempo che passa in rassegna i dati sensibili.

A quale tipo di dati potrebbero avere accesso gli aggressori?

"L'attore delle minacce è stato in grado di accedere a tabelle di database che contengono informazioni su utenti, app e vari tipi di chiavi."

Anche se non è chiaro quale sia lo scopo di tale elenco, è sicuramente un sacco di cose sensibili.

A loro merito, OneLogin è stato molto schietto su questo incidente. Hanno tenuto un post di blog aggiornato sul loro sito, comunicato con i clienti in merito all'attacco e fornito consigli su cosa fare. Finora non ci sono indicazioni che la società abbia offuscato l'accaduto. (Anche se potrebbero aver minimizzato la gravità dell'attacco.)

Cosa fare se si utilizza OneLogin

OneLogin ha rapidamente rilasciato una guida per aiutare gli utenti a mitigare gli effetti dell'attacco (Il registro anche pubblicato questo elenco per i non clienti). L'elenco include reimpostazioni di password, nuovi token di autenticazione, eliminazione di note sicure e una serie di altri suggerimenti tecnici a livello di amministratore.

Se sei un utente di OneLogin, l'ovvio corso dell'azione è molto più semplice: cambia le password e aggiorna i token di autenticazione. Ci vorrà del tempo, ma vale la pena farlo, perché ci sono ottime possibilità che qualcuno abbia accesso a tutto ciò che hai archiviato nel tuo account. Cambia la tua password principale, cambia le password delle tue app, cambia tutto ciò che hai archiviato in OneLogin.

E cestinare le tue note sicure.

Sì, farà schifo. Ma succherà molto meno di avere uno dei tuoi servizi importanti preso in consegna da un attaccante (o, forse peggio, trattenuto per riscatto).

Cosa possiamo imparare dall'hack di OneLogin

La prima e più preoccupante lezione è chiara: le società di Single Sign-On (SSO) e di gestione delle password non sono immuni alle minacce alla sicurezza. Queste aziende sanno che la sicurezza è un grosso problema per i loro clienti e che detengono un'enorme quantità di informazioni preziose.

Ma succedono cose brutte. In questo caso, le chiavi API che hanno consentito agli aggressori di accedere a OneLogin hanno avuto origine "da un host intermedio con un altro, più piccolo fornitore di servizi negli Stati Uniti " Nonostante la dedizione di OneLogin alla sicurezza, le carenze di un'altra società potrebbero aver lasciato gli aggressori in.

Sfortunatamente, nessuna azienda è a prova di hack. La gestione delle password e le aziende SSO prendono molto sul serio la sicurezza e generalmente ne fanno un buon lavoro. Ma questo doveva succedere.

Andando avanti, cosa puoi fare? Ecco alcune cose da tenere a mente quando si utilizzano questi tipi di servizi.

Conservare tutto in un unico posto è una cattiva idea

Ovviamente manterrai le tue password nell'app per la gestione delle password. Ma dovrebbe essere il repository per tutti delle tue informazioni sensibili? Forse no.

È facile utilizzare le note sicure di LastPass, ad esempio, per conservare i dati del tuo conto bancario o la password Wi-Fi di casa. Ma se quel servizio viene violato, ora stai esaminando ancora più problemi. I dati della tua carta di credito potrebbero essere già memorizzati. Eppure se aggiungi alcune informazioni chiave in più 10 informazioni che vengono utilizzate per rubare la tua identitàIl furto di identità può essere costoso. Ecco le 10 informazioni che devi proteggere per non rubare la tua identità. Leggi di più , il furto di identità diventa molto più semplice.

Prendi in considerazione l'utilizzo di un altro servizio crittografato che non memorizza informazioni nel cloud, ad esempio SplashIDo semplicemente crittografare e proteggere con password una cartella sul tuo computer Come proteggere con password una cartella in WindowsDevi mantenere una cartella di Windows privata? Ecco alcuni metodi che puoi utilizzare per proteggere con password i tuoi file su un PC Windows 10. Leggi di più . È leggermente meno conveniente, ma potrebbe ridurre significativamente la difficoltà in caso di violazione.

Pensa due volte al Single Sign-On

SSO è eccezionale perché fa risparmiare un sacco di tempo e riduce al minimo le tue password. OpenID, accesso con le credenziali dei social network Usando il Social Login? Segui questi passaggi per proteggere i tuoi accountSe stai utilizzando un servizio di accesso social (come Google o Facebook), potresti pensare che tutto sia sicuro. Non è così - è tempo di dare un'occhiata ai punti deboli dei login social. Leggi di più e altri metodi simili sono abbastanza popolari. (Ad essere sincero, li uso anch'io.)

L'opzione più sicura è semplicemente aprire un account con il tuo indirizzo e-mail per ogni sito. Se stai utilizzando un gestore di password, questo è facile. Non abbastanza facile come OAuth o un simile accesso con un clic, ma lo è decisamente più sicuro Come milioni di app sono vulnerabili a un singolo hack di sicurezzaOAuth è uno standard aperto utilizzato per consentire l'accesso a un'app o sito Web di terze parti utilizzando un account Facebook, Twitter o Google ed è vulnerabile agli hacker. Leggi di più .

Ad essere onesti, alcune persone incoraggiano l'uso del Single Sign-On come pratica di sicurezza. Pesare le tue opzioni.

Utilizzare l'autenticazione a due fattori su servizi importanti

Abbiamo parlato dell'autenticazione a due fattori innumerevoli volte, ma se non ne hai familiarità, leggi tutto Cos'è l'autenticazione a due fattori e perché dovresti usarlaL'autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la tua identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con una carta di credito non richiede solo la carta, ... Leggi di più e impara quali servizi possono usarlo Blocca subito questi servizi con l'autenticazione a due fattoriL'autenticazione a due fattori è il modo intelligente per proteggere i tuoi account online. Diamo un'occhiata ad alcuni dei servizi che è possibile bloccare con una migliore sicurezza. Leggi di più . Quindi accendilo.

Per quali servizi dovresti usare l'autenticazione a due fattori? In breve, il maggior numero possibile. I tuoi servizi più importanti, come e-mail, servizi bancari e cloud storage, dovrebbero sicuramente essere protetti da esso. Qualsiasi altra cosa è un bonus. Fallo ora.

Stai attento

Gli utenti di OneLogin hanno imparato una dura lezione: nessun servizio è sicuro al 100%. Questo è stato un modo particolarmente duro per imparare questa lezione, ma a lungo termine, potrebbe essere per il meglio. Se sei un utente di OneLogin, dovresti impegnarti a raccogliere i pezzi. In caso contrario, considerati fortunato e prendi provvedimenti per assicurarti che non ti accada.

Sei stato interessato dall'hack di OneLogin? Ti fa pensare due volte ai gestori di password o alle app single sign-on? Condividi i tuoi pensieri nei commenti qui sotto!