The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Утечка информации из сервиса OneLogin

02.06.2017 17:33

Сервис OneLogin, предоставляющий средства для организации единой точки входа, централизованного управления учётными записями и параметрами аутентификации для разных сайтов, сообщил, что на днях произошел инцидент, в результате которого возникла утечка информации о потребителях. Утечка затронула хранимые пароли, OAuth-токены, ключи к AWS (Amazon Web Services‎), различные типы ключей доступа и другие привязанные к пользователю данные. Сведения о пользователях хранились в зашифрованном виде, но атакующие имели возможность их расшифровать.

Размер утечки и причины пока не сообщаются, известно лишь, что атакующие в течение семи часов имели доступ к инфраструктуре. Атака была выявлена по аномальному всплеску активности СУБД. Для проникновения в инфраструктуру злоумышленники использовали AWS API и ключи к AWS, попавшие в руки атакующих. Вcем пользователям OneLogin рекомендуется незамедлительно обновить пароли и сгенерировать новые OAuth токены для всех сайтов, для входа на которые использовался OneLogin.

  1. Главная ссылка к новости (https://arstechnica.co.uk/secu...)
  2. OpenNews: Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля
  3. OpenNews: Небезопасное хранение данных в менеджерах паролей для платформы Android
  4. OpenNews: В Cryptkeeper всплыла проблема, приводящая к заданию фиксированного пароля "p"
  5. OpenNews: Facebook предложил новый метод восстановления забытых паролей
  6. OpenNews: Уязвимость, позволявшая сменить пароль любого пользователя Facebook
Автор новости: Асен Тотин
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46643-onelogin
Ключевые слова: onelogin
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Хорошийкомп (?), 21:02, 02/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +53 +/
    Единную точку отказа мы долго-долго строили и наконец построили ,бгг...
     
  • 1.2, Аноним (-), 21:03, 02/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Клоунада
     
  • 1.3, Ненужно (?), 21:05, 02/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    >средства для организации единой точки входа, централизованного управления учётными записями и параметрами аутентификации для разных сайтов

    Уж сколько раз твердили миру не хранить все яйца в одной корзине

     
     
  • 2.11, Кверти (?), 00:28, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Уж сколько раз твердили миру - не складывать в одну корзину!
     
     
  • 3.13, Аноним (-), 03:06, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Каждому яйцу по корзине!
     
     
  • 4.14, Аноним (-), 04:46, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Каждому пользующемуся - корзиной по яйцу! Каждому.
     
     
  • 5.35, Аноним (-), 10:13, 05/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не более одного для каждого экземпляра человека
     
  • 2.38, очбыл (?), 18:52, 05/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    но ведь хранят некоторые в одной мошонке все яйца...
     

  • 1.4, Xrenoxod (ok), 21:17, 02/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    Зашибись построен бизнес.
    Стикеры с паролями, приклеенные к монитору, просто рвут все эти сервисы по уровню безопасности.
     
     
  • 2.7, пох (?), 22:24, 02/06/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Стикеры с паролями, приклеенные к монитору, просто рвут все эти сервисы по уровню
    > безопасности.

    безусловно. Они требуют физического проникновения на защищенную территорию, закрытый ими сервис может не иметь никакого доступа из внешнего мира (в отличие от сервисов, пользующихся услугами внешних авторизовалок - как-то они должны получить от них подтверждение), и, главное - сколько мой монитор не пытай на подвале, он, бедный, так и не скажет, от чего именно какой пароль.

    Единственный недостаток - сперли монитор, прощай все доступы.

     
     
  • 3.8, нах (?), 22:34, 02/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Зачем его куда-то спирать? Сфотать нынче можно и тапком.
     
     
  • 4.9, пох (?), 23:36, 02/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Зачем его куда-то спирать? Сфотать нынче можно и тапком.

    ты фотограф или хакер, я что-то не разберу? Если ты беспалевно оказался в таком месте, откуда можно сфотать этот монитор (или, скажем, получил доступ к камерам, в которые его как-то видно), да еще и знаешь чей он - тебе нахрен не нужны эти пароли (конечно, если они тебе не из эстетических соображений интересны, для создания фотошедевра).

    Там на соседних столах лежат документы, которые дороже любых паролей обойдутся. Можно даже не фотать, а тупо спереть оригинал, и кошелечек, кстати, прихватить (скока-скока там сперли в ЦБ надысь? Зачем этому пароли, он и так в шоколаде, и безпалева)

    Если у тебя в конторе _даже_ физической безопасности нет, чего уж там секретничать...

     
     
  • 5.15, Аноним (-), 08:23, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > ты фотограф или хакер, я что-то не разберу?

    То есть если он хакер, то сразу спердеть монитор?

     
     
  • 6.18, пох (?), 13:55, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > То есть если он хакер, то сразу спердеть монитор?

    ну кто-то же его сп-л?! Навряд ли это был фотограф, там матрица очень так себе.
    А мне пришлось из-за злых хакеров кучу паролей менять, что я ,помню что-ли, что там было понаклеено...

     
  • 2.34, freehck (ok), 20:58, 04/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Стикеры с паролями, приклеенные к монитору, просто рвут все эти сервисы по уровню безопасности.

    А рвут ли? За безопасностью паролей на сервисах всё же следят, и даже уведомляют вон. А если кто-то подсмотрит стикер или файл с паролями у Вас на диске? Думаю, никогда не узнаете об этом. Впрочем, сам-то я тоже файл с паролем использую...

     
     
  • 3.36, пох (?), 15:02, 05/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А рвут ли? За безопасностью паролей на сервисах всё же следят, и даже уведомляют вон.

    когда уследят - то уведомляют (иногда). А вдруг не уследят? Не спалился б тот лох сверхнагрузкой на базу, в попытках разом унести все - глядишь, может и не заметили бы еще годик-два.

    > А если кто-то подсмотрит стикер или файл с паролями у Вас на диске?

    ну то же самое - если я ентого фотохрафа сам поймаю, то в грызло дам и мобилу отожму, как содержащую секретные сведения. Если безопасник поймает - то мобило ему достанется, а мне он может скажет, а может как повезет, хрен их, безопасников, знает, у них идеи разные бывают. А если под видом уборщицы ночью прокрадется, заляпав камеры грязной тряпкой, без палева, то, в общем, та же канитель, что и с централизованным сервисом, который поломали, а никто не заметил.

     

  • 1.6, Аноним (-), 21:40, 02/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    > Вcем пользователям OneLogin рекомендуется незамедлитулно обновить пароли и сгенерировать новые OAuth токены для всех сайтов, для входа на которые использовался OneLogin

    и продолжить пользоваться OneLogin.

     
     
  • 2.10, тоже Аноним (ok), 00:03, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Говорят, один сервис разослал своим клиентам письмо с извинениями и текстом "мы облажались, не пользуйтесь больше таким стремным сервисом".
    Врут.
     
     
  • 3.12, ЛинуксоидЪ (?), 00:57, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Говорят, один сервис разослал своим клиентам письмо с извинениями и текстом "мы
    > облажались, не пользуйтесь больше таким стремным сервисом".
    > Врут.

    Лет 10-15 назад вполне могло бы быть. В смысле, разослали бы вместе с доказательствами те, кто упер данные, чисто по приколу. Сейчас, увы, и в IT выросло свое поколение "бабки превыше всего!"


     
     
  • 4.17, Sabakwaka (ok), 11:56, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >>  Сейчас, увы, поколение "бабки превыше всего!"

    Проблема тут, — в этой ситуации, когда OneLogin продолжит существовать, как ни в чем не бывало, — НЕ в обосравшемся OneLogin, а в ПОЛЬЗОВАТЕЛЯХ, которые продолжат платить  OneLogin'у деньги.

    Если пользователь настолько непритязателен, что такие инциденты не производят на него впечатления — OneLogin будет жить. И суть тут не в подлости OneLogin'а, а в тупости юзера.

    А юзер там отборный, прошедший фильтр «храним все ваши пароли в Сети». Такого юзера, которого не отвращает сама идея такого сервиса — ничем не испугать.

     
     
  • 5.19, пох (?), 14:10, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Проблема тут, — в этой ситуации, когда OneLogin продолжит существовать, как ни
    > в чем не бывало, — НЕ в обосравшемся OneLogin, а в
    > ПОЛЬЗОВАТЕЛЯХ, которые продолжат платить  OneLogin'у деньги.

    ты посмотри список побед, и поймешь, что спрыгнуть с "proper authentication to our 11,000 internal and 24,000 external users” не так-то и просто, если в принципе возможно без бизнес-катастрофы.

    Кстати, никто не обещает твоему работодателю, что если дать тебе возможность построить подобную систему самому, то ее не поломают уже _прицельно_ - и это гораздо хуже, чем утечка некоторого количества данных из базы анлогина, не факт что кому-то сильно пригодившихся (хотя могли приходить за кем-то конкретным, и вот этому кому-то сейчас плохо).

    > Если пользователь настолько непритязателен, что такие инциденты не производят

    произвели. что дальше делать-то будем? См. выше что у них были за "пользователи".
    И да, эта лавка _мебелью_ торгует - туда в принципе не удастся нанять нужное количество компенентных людей, морды воротят, это не гугль и не амазон, где весь Бомбей в очереди на собеседование стоит. Некомпетентные сделают еще хуже и дырявее, да еще и бизнес-процессы положат.

    > А юзер там отборный, прошедший фильтр «храним все ваши пароли в Сети».

    куда ты денешься-то? Они еще и данные там хранят.

    > Такого юзера, которого не отвращает сама идея такого сервиса — ничем
    > не испугать.

    я лет еще десять назад видел юзеров, категорически возражавших против нормальной офисной сети. "как можно, доверять свои данные какому-то серверу где-то в соседней комнате - а если заглючит?", вот локальный диск - это надежно и всегда под рукой, ага.

     
     
  • 6.24, Sabakwaka (ok), 18:57, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Окей, я только за.

    Пусть из этой лавки с мебелью вынесут всё. Лишь бы самой лавке нравилось.

     
     
  • 7.27, пох (?), 21:15, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Пусть из этой лавки с мебелью вынесут всё. Лишь бы самой лавке
    > нравилось.

    лавке может и не очень нравится - но ты ж ей предложить ничего другого не можешь (ну, в смысле - предложить-то сможешь, не сможешь потом отвечать за базар). А на монитор пароли в таком количестве не прилепляются, даже если это десятифутовая плазма во дворце CEO.
    И пока приклеишь - первые уже отвалиться успевают. Поэтому мое решение им тоже не подходит.

    Интересно, у анал-логина конкурентов-то поприличнее - совсем, выходит, нет?

     
     
  • 8.28, Sabakwaka (ok), 22:19, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Могу СТАНДАРТНУЮ ЛУЧШУЮ бизнес-практику из отдела кадров гражданин выносит бум... текст свёрнут, показать
     
     
  • 9.32, пох (?), 14:51, 04/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    для лавок из трех человек и двух компьютеров Увы, это и есть то, что я имел в в... большой текст свёрнут, показать
     
  • 5.31, Аноним (-), 23:51, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    проблема не в том, что всем юзерам пофиг на их пароли, а что большинство банально не шарят в достаточной степени, чтобы понять, что хранить пароли в вебе - не сесурно. Чем и пользуются маркетолухи.
    С одной стороны - не мамонты, не вымрут. В том плане, что грех не воспользоваться людской глупостью. С другой же - все когда то с чего то начинали. Не факт, что нынешний пользователь сей корзины завтра не подучит матчасть и не пойдет в безопасники. И вот за таких людей обиднее всего.
     

  • 1.21, Аноним (-), 16:12, 03/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно зайти на главную Уанлогина в раздел "Отзывы" и представить, как эти солидные дяденьки с фотографий нынче судорожно меняют пароли...
     
     
  • 2.26, пох (?), 21:07, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Можно зайти на главную Уанлогина в раздел "Отзывы" и представить, как эти
    > солидные дяденьки с фотографий нынче судорожно меняют пароли...

    дяденькины индусы-подчиненные меняют, дяденьке неприлично самому.

    но вот перед боссом краснеть и оправдываться да, придется лично.

     

  • 1.22, Аноним (-), 18:19, 03/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то мне подсказывает, что иногда это предоставление данных спецслужбам под видом "взлома".
     
     
  • 2.25, . (?), 20:47, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Что-то мне подсказывает, что иногда это предоставление данных спецслужбам
    > под видом "взлома".

    товарищ майор недоволен - ну предоставили. а нахрена шухер-то поднимать?
    г-н ceo еще больше недоволен - мало того, что майор наследил грязными ботинками на драгоценный ковер, так еще и капитализацию уронили вдвое.
    Угадай, кого сегодня вечером ждет "темная"?

     

  • 1.23, Кровавое Око Саурона (?), 18:56, 03/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Один чтоб править всеми...
     
     
  • 2.29, Аноним (-), 23:13, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ...рабами.
    Так если подумать - есть природа и ее для всего. Вам тоже нужны посредники в виде людей?
     
     
  • 3.30, Аноним (-), 23:14, 03/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ее законы*
     
  • 3.37, рептилоид (?), 15:07, 05/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ...рабами.
    > Вам тоже нужны посредники в виде людей?

    честно говоря - нет. Рабы вы косорукие, что ни дай, все onelogin выходит, посредники ненадежные, вечно забухать норовят и тем порушить коварный план, пользы от вашей цивилизации вообще никакой.



     

  • 1.39, Аноним (-), 11:20, 06/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Вcем пользователям OneLogin рекомендуется незамедлительно обновить пароли и сгенерировать новые OAuth токены для всех сайтов, для входа на которые использовался OneLogin.

    По-моему пользователи выбирали сервис чтобы этим не заниматься. Лол.

     
  • 1.40, Аноним (-), 18:13, 06/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> Вcем пользователям OneLogin рекомендуется

    не использовать онлайн-сервисы для хранения паролей.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру