Hack OneLogin bija nopietns, un tas mums prasīja mācību

Reklāma

Mēs esam lieli fani paroļu pārvaldnieki Kā paroļu pārvaldnieki aizsargā jūsu parolesParoles, kuras ir grūti uzlauzt, ir arī grūti atcerēties. Vai vēlaties būt drošs? Jums nepieciešams paroļu pārvaldnieks. Lūk, kā viņi strādā un kā jūs aizsargā. Lasīt vairāk šeit vietnē MakeUseOf. Viņi atvieglo jūsu dzīvi, paātrina daudz procesu un uzlabo jūsu drošību. Viņi arī koncentrē jūsu sensitīvo paroli informāciju vienuviet - un tas var būt bīstami.

Piemērs: OneLogin, uzņēmuma līmeņa vienotās pierakstīšanās un paroļu pārvaldības lietotnes ražotājs, tika uzlauzts 2017. gada 31. maijā. Un tas ir tiešām sliktas ziņas. Lūk, kas notika, kas jums jādara, un dažas mācības, kuras mēs varam iemācīties.

Kas notika vietnē OneLogin?

Lūk, ko saka OneLogin:

“… Draudu veicējs izmantoja vienu no mūsu AWS taustiņiem, lai piekļūtu mūsu AWS platformai, izmantojot API, izmantojot starpposma resursdatoru pie cita, mazāka pakalpojumu sniedzēja ASV…”

Ko tas nozīmē? Tas nozīmē, ka kāds meklēja OneLogin sensitīvos datus. Un, lai arī liela daļa šo datu ir šifrēti, OneLogin uzskata, ka uzbrucēji spēja atšifrēt vismaz dažus datus.

Tiklīdz OneLogin tehniķi atklāja ielaušanos, viņi izslēdza iefiltrētās sistēmas. Diemžēl tiek ziņots, ka viņi ielaušanos atklāja tikai septiņas stundas pēc tā sākuma. Tas ir ilgs laiks, lai veiktu slepenu datu meklēšanu.

Kāda veida datiem uzbrucējiem varēja būt piekļuve?

“Draudu izraisītājs varēja piekļūt datu bāzu tabulām, kurās ir informācija par lietotājiem, lietotnēm un dažāda veida taustiņiem.”

Lai gan nav skaidrs, kāds ir šī saraksta darbības joma, tas noteikti ir daudz sensitīvu lietu.

Viņu pateicībā OneLogin ir ļoti atklāti runājis par šo incidentu. Viņi ir saglabājuši atjaunināta emuāra ziņa savā vietnē, sazinājās ar klientiem par uzbrukumu un sniedza padomus, kā rīkoties. Pagaidām nekas neliecina par to, ka uzņēmums būtu apjaucis notikušo. (Lai arī viņi, iespējams, ir nedaudz mazinājuši uzbrukuma nopietnību.)

Kas jums jādara, ja izmantojat OneLogin

OneLogin ātri izlaida ceļvedi, kas lietotājiem palīdz mazināt jebkādas uzbrukuma sekas (Reģistrēties arī ievietojis šo sarakstu klientiem, kas nav klienti). Šajā sarakstā ir paroles atiestatīšana, jauni autentifikācijas marķieri, atbrīvošanās no drošām piezīmēm un virkne citu tehnisku, administratora līmeņa ieteikumu.

Ja tomēr esat OneLogin lietotājs, acīmredzamā rīcība ir daudz vienkāršāka: nomainiet savas paroles un atjauniniet autentifikācijas pilnvaras. Tas prasīs laiku, bet to ir vērts darīt, jo ir ļoti liela iespēja, ka kādam ir piekļuve visam, ko jūs glabājat jūsu kontā. Mainiet galveno paroli, mainiet savu lietotņu paroles, mainiet visu, ko esat saglabājis OneLogin.

Atkritiet drošās piezīmes.

Jā, tas sāks sūkāt. Bet tas sāks sūkāt daudz mazāk nekā tad, ja kādu no jūsu svarīgajiem pakalpojumiem pārņems uzbrucējs (vai, kas ir vēl ļaunāk, tur par izpirkuma maksu).

Ko mēs varam iemācīties no OneLogin Hack

Pirmā un satraucošākā mācība ir skaidra: vienreizējas pierakstīšanās (SSO) un paroļu pārvaldības uzņēmumi nav neaizsargāti pret drošības draudiem. Šie uzņēmumi zina, ka drošība ir liels darījums viņu klientiem un ka viņiem ir milzīgs daudzums vērtīgas informācijas.

Bet notiek sliktas lietas. Šajā gadījumā API atslēgas, kas uzbrucējiem ļāva piekļūt OneLogin, radās “no starpposma resursdatora ar citu, mazāku pakalpojumu sniedzējs ASV ” Neskatoties uz OneLogin veltījumu drošībai, cita uzņēmuma trūkumi, iespējams, ļāva uzbrucējiem iekšā

Diemžēl neviens uzņēmums nav drošs pret hakeru. Paroļu pārvaldība un SSO uzņēmumi ļoti nopietni uztver drošību, un kopumā ar to labi nodarbojas. Bet tas noteikti notika.

Ejot uz priekšu, ko jūs varat darīt? Šīs ir dažas lietas, kas jāpatur prātā, lietojot šāda veida pakalpojumus.

Visu glabāt vienuviet ir slikta ideja

Acīmredzot jūs savas paroles paturēsit savā paroļu pārvaldības lietotnē. Bet vai tam vajadzētu būt visiem no jūsu slepenās informācijas? Varbūt ne.

LastPass drošās piezīmes ir viegli izmantot, piemēram, lai saglabātu informāciju par jūsu bankas kontu vai mājas Wi-Fi paroli. Bet, ja šis pakalpojums tiek uzlauzts, jūs tagad skatāties vēl vairāk problēmu. Iespējams, jūsu kredītkartes informācija jau ir saglabāta. Tomēr, ja jūs pievienojat vēl dažas galvenās informācijas vienības 10 informācijas vienības, kas tiek izmantotas, lai nozagtu jūsu identitātiIdentitātes zādzība var būt dārga. Šeit ir 10 informācija, kas jums jāaizsargā, lai jūsu identitāte netiktu nozagta. Lasīt vairāk , identitātes zādzība kļūst daudz vieglāka.

Apsveriet iespēju izmantot citu šifrētu pakalpojumu, piemēram,, kas neuzglabā informāciju mākonī SplashID, vai vienkārši šifrēt un ar paroli aizsargā mapi datorā Kā Windows aizsargā mapi ar paroliVai Windows mape ir jāuztur privāta? Šeit ir dažas metodes, kuras varat izmantot, lai aizsargātu failus ar paroli, izmantojot Windows 10 datoru. Lasīt vairāk . Tas ir nedaudz mazāk ērti, taču pārkāpuma gadījumā tas var ievērojami samazināt grūtību daudzumu.

Divreiz padomājiet par vienreizēju pierakstīšanos

SSO ir lielisks, jo tas ietaupa daudz laika un pēc iespējas samazina jūsu paroles. OpenID, pierakstīšanās ar sociālā tīkla akreditācijas datiem Vai izmantojat sociālo pieteikšanos? Veiciet šīs darbības, lai aizsargātu savus kontusJa izmantojat sociālās pieteikšanās pakalpojumu (piemēram, Google vai Facebook), iespējams, domājat, ka viss ir droši. Ne tā - ir pienācis laiks palūkoties uz sociālo loginu trūkumiem. Lasīt vairāk , un citas līdzīgas metodes ir diezgan populāras. (Godīgi sakot, es pats tos lietoju.)

Drošāka iespēja ir vienkārši katrai vietnei atvērt kontu ar savu e-pasta adresi. Ja izmantojat paroļu pārvaldnieku, tas ir viegli. Nav tik vienkārši kā OAuth vai līdzīga pierakstīšanās ar vienu klikšķi, taču tā ir noteikti drošāk Cik miljoniem lietotņu ir ievainojama vienotā drošības hakaOAuth ir atvērts standarts, ko izmanto, lai ļautu jums pieteikties trešās puses lietotnē vai vietnē, izmantojot Facebook, Twitter vai Google kontu, un tas ir neaizsargāts pret hakeriem. Lasīt vairāk .

Lai būtu godīgi, daži cilvēki mudina izmantot vienreizēju pierakstīšanos kā drošības praksi. Nosveriet savas iespējas.

Svarīgu pakalpojumu gadījumā izmantojiet divu faktoru autentifikāciju

Mēs neskaitāmas reizes esam runājuši par divu faktoru autentifikāciju, bet, ja jūs to neesat pazīstams, izlasi visu par to Kas ir divu faktoru autentifikācija un kāpēc jums tā būtu jāizmantoDivfaktoru autentifikācija (2FA) ir drošības metode, kurai nepieciešami divi dažādi jūsu identitātes pierādīšanas veidi. To parasti izmanto ikdienas dzīvē. Piemēram, norēķinoties ar kredītkarti, nepieciešama ne tikai karte, ... Lasīt vairāk un mācīties kuri dienesti to var izmantot Noslēdziet šos pakalpojumus tagad, izmantojot divu faktoru autentifikācijuDivfaktoru autentifikācija ir viedais veids, kā aizsargāt savus tiešsaistes kontus. Apskatīsim dažus pakalpojumus, kurus varat bloķēt ar labāku drošību. Lasīt vairāk . Tad ieslēdziet to.

Kādiem pakalpojumiem jums vajadzētu izmantot divu faktoru autentifikāciju? Īsāk sakot, tik daudz, cik jūs varat. Ar to noteikti jāaizsargā jūsu vissvarīgākie pakalpojumi, piemēram, e-pasts, banku darbība un mākoņa krātuve. Viss pārējais ir bonuss. Dari to tagad.

Palieciet asi

OneLogin lietotāji iemācījās smagu mācību: neviens pakalpojums nav simtprocentīgi drošs. Tas bija īpaši skarbs veids, kā iemācīties šo nodarbību, bet ilgtermiņā tas var būt labākais. Ja esat OneLogin lietotājs, jums vajadzētu aizņemties ar gabalu uzņemšanu. Ja tā nav, uzskatiet sevi par veiksminieku un rīkojieties, lai pārliecinātos, ka tas nenotiek ar jums.

Vai jūs ietekmēja OneLogin hakers? Vai tas liek divreiz padomāt par paroļu pārvaldniekiem vai vienreizējas pierakstīšanās lietotnēm? Dalieties savās domās komentāros zemāk!