Sicurezza

L'hacking OneLogin era serio e ci ha insegnato una lezione

L'hacking OneLogin era serio e ci ha insegnato una lezione / Sicurezza

Siamo grandi fan dei gestori di password Come i gestori di password mantengono le password sicure Come i gestori di password mantengono le password sicure Anche le password difficili da decifrare sono difficili da ricordare. Vuoi essere al sicuro? Hai bisogno di un gestore di password. Ecco come funzionano e come ti proteggono. Leggi di più qui su MakeUseOf. Semplificano la tua vita, velocizzano molti processi e migliorano la tua sicurezza. Ma concentrano anche le tue informazioni sensibili sulle password in un unico posto, e questo può essere pericoloso.

Caso in questione: OneLogin, il produttore di un'app di gestione delle password e di accesso singolo a livello aziendale, è stato violato il 31 maggio 2017. E questa è davvero una brutta notizia. Ecco cosa è successo, cosa dovresti fare e alcune lezioni che possiamo imparare.

Cosa è successo a OneLogin?

Ecco cosa dice OneLogin:

“... un attore di minacce ha utilizzato una delle nostre chiavi AWS per accedere alla nostra piattaforma AWS tramite API da un host intermedio con un altro fornitore di servizi più piccolo negli Stati Uniti ... ”

Cosa significa? Significa che qualcuno stava esaminando i dati sensibili di OneLogin. E mentre gran parte di questi dati è crittografata, OneLogin ritiene che gli autori degli attacchi siano stati in grado di decifrare almeno alcuni dei dati.

Non appena i tecnici OneLogin hanno rilevato l'intrusione, hanno interrotto i sistemi che erano stati infiltrati. Sfortunatamente, è stato riferito che non hanno rilevato l'intrusione fino a sette ore dopo l'inizio. È passato molto tempo a dare un'occhiata ai dati sensibili.

A quale tipo di dati potrebbero aver accesso gli hacker?

“L'attore delle minacce è stato in grado di accedere alle tabelle del database che contengono informazioni su utenti, app e vari tipi di chiavi.”

Sebbene non sia chiaro esattamente quale sia lo scopo di questa lista, sono sicuramente un sacco di cose sensibili.

A loro credito, OneLogin è stato molto esplicito su questo incidente. Hanno tenuto un post sul blog aggiornato sul loro sito, comunicato con i clienti sull'attacco e fornito consigli su cosa fare. Non c'è indicazione fino ad ora che la compagnia abbia offuscato ciò che è successo. (Anche se potrebbero aver minimamente minimizzato la gravità dell'attacco).

Cosa dovresti fare se usi OneLogin

OneLogin ha rilasciato rapidamente una guida per aiutare gli utenti a mitigare gli effetti dell'attacco (Il registro anche pubblicato questo elenco per i non-clienti). L'elenco include reimpostazioni di password, nuovi token di autenticazione, eliminazione di note protette e una serie di altri suggerimenti tecnici a livello di amministratore.

Se sei un utente di OneLogin, la linea di condotta più ovvia è molto più semplice: cambia le tue password e aggiorna i token di autenticazione. Ci vorrà un po ', ma vale la pena farlo, perché c'è una buona possibilità che qualcuno abbia accesso a tutto ciò che hai memorizzato nel tuo account. Cambia la tua password principale, cambia le password nelle app, cambia tutto ciò che hai memorizzato in OneLogin.

E trash le tue note sicure.

Sì, farà schifo. Ma succhia molto meno che avere uno dei tuoi servizi importanti preso da un aggressore (o, peggio ancora, tenuto per un riscatto).

Cosa possiamo imparare da OneLogin Hack

La prima e più preoccupante lezione è chiara: le società di gestione delle password con accesso singolo (SSO) e Single Sign-On non sono immuni dalle minacce alla sicurezza. Queste aziende sanno che la sicurezza è un grosso problema per i loro clienti e che contengono una quantità enorme di informazioni preziose.

Ma le cose brutte accadono. In questo caso, sono state originate le chiavi API che davano agli hacker l'accesso a OneLogin “da un host intermedio con un altro fornitore di servizi più piccolo negli Stati Uniti.” Nonostante la dedizione alla sicurezza di OneLogin, le carenze di un'altra azienda potrebbero aver permesso agli aggressori di entrare.

Sfortunatamente nessuna azienda è a prova di hacker. La gestione delle password e le aziende SSO prendono molto sul serio la sicurezza e generalmente fanno un buon lavoro. Ma questo doveva succedere.

Andando avanti, cosa puoi fare? Ecco alcune cose da tenere a mente quando si utilizzano questi tipi di servizi.

Conservare tutto in un posto è una cattiva idea

Ovviamente manterrai le tue password nella tua app di gestione delle password. Ma dovrebbe essere il repository per tutti delle tue informazioni sensibili? Forse no.

È facile utilizzare le note protette di LastPass, ad esempio, per mantenere le informazioni del tuo conto bancario o la tua password Wi-Fi domestica. Ma se quel servizio viene violato, stai guardando ancora più problemi. Potresti avere già memorizzato i dati della tua carta di credito. Eppure se aggiungete qualche altra informazione chiave 10 Pezzi di informazione che sono usati per rubare la vostra identità 10 pezzi di informazione che sono usati per rubare la vostra identità Secondo l'Ufficio di Giustizia degli Stati Uniti, il furto di identità costò alle vittime oltre 24 miliardi di dollari nel 2012 , più di furto con scasso della famiglia, motore e furto di proprietà combinato. Queste 10 informazioni sono ciò che i ladri stanno guardando ... Per saperne di più, il furto di identità diventa molto più facile.

Prendi in considerazione l'utilizzo di un altro servizio crittografato che non memorizza le informazioni nel cloud, come SplashID, o semplicemente crittografa e protegge con password una cartella sul tuo computer Come proteggere una cartella con Windows in Windows Come proteggere con password una cartella in Windows Necessità di mantenere Windows cartella privata? Ecco alcuni metodi che puoi utilizzare per proteggere con password i tuoi file su un PC con Windows 10. Leggi di più . È leggermente meno conveniente, ma potrebbe ridurre significativamente la quantità di difficoltà nel caso di una violazione.

Pensa due volte al Single Sign-On

SSO è eccezionale perché consente di risparmiare un sacco di tempo e mantiene le password al minimo. OpenID, accesso con le credenziali del social network Utilizzo di accesso social? Segui questi passaggi per proteggere i tuoi account utilizzando l'accesso social? Segui questi passaggi per proteggere i tuoi account Se stai utilizzando un servizio di accesso social (come Google o Facebook), potresti pensare che tutto sia sicuro. Non è così - è tempo di dare un'occhiata ai punti deboli degli accessi social. Leggi di più, e altri metodi simili sono abbastanza popolari. (Per essere completamente onesto, li uso io stesso.)

L'opzione più sicura è semplicemente aprire un account con il tuo indirizzo email per ogni sito. Se stai usando un gestore di password, questo è facile. Non proprio facile come OAuth o un simile accesso one-click, ma è sicuramente più sicuro. Milioni di app sono vulnerabili a un singolo attacco di sicurezza. Milioni di app sono vulnerabili a un singolo Hack di sicurezza OAuth è uno standard aperto utilizzato per ti consente di accedere a un'app o a un sito Web di terzi utilizzando un account Facebook, Twitter o Google ed è vulnerabile agli hacker. Leggi di più .

Per essere onesti, alcune persone incoraggiano l'uso del Single Sign-On come pratica di sicurezza. Pesate le vostre opzioni.

Utilizzare l'autenticazione a due fattori su servizi importanti

Abbiamo parlato di autenticazione a due fattori innumerevoli volte, ma se non hai familiarità con esso, leggi tutto ciò che è un'autenticazione a due fattori e perché dovresti usarla Cos'è l'autenticazione a due fattori e perché dovresti Uso L'autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la propria identità. È comunemente usato nella vita di tutti i giorni. Ad esempio pagare con una carta di credito non solo richiede la carta, ... Leggi di più e scopri quali servizi possono usarlo Blocca giù questi servizi ora con autenticazione a due fattori Blocca giù questi servizi ora con autenticazione a due fattori L'autenticazione a due fattori è la smart modo per proteggere i tuoi account online. Diamo un'occhiata ad alcuni dei servizi che puoi bloccare con una maggiore sicurezza. Leggi di più . Quindi accenderlo.

Per quali servizi utilizzare l'autenticazione a due fattori? In breve, quante più persone possibile. I tuoi servizi più importanti, come la posta elettronica, i servizi bancari e il cloud storage, dovrebbero essere sicuramente protetti da questo. Qualsiasi altra cosa è un bonus. Fallo ora.

Stai attento

Gli utenti OneLogin hanno imparato una dura lezione: nessun servizio è sicuro al 100%. Questo è stato un modo particolarmente duro per imparare questa lezione, ma a lungo termine potrebbe essere il migliore. Se sei un utente OneLogin, dovresti essere impegnato a raccogliere i pezzi. Se non lo sei, si consideri fortunato, e prendere provvedimenti per assicurarsi che non ti capita.

Eri affetto dall'hack di OneLogin? Ti fa riflettere due volte su gestori di password o app di single sign-on? Condividi i tuoi pensieri nei commenti qui sotto!

Scopri di più su: Password Manager.