Foto: AP
OneLogin, en identity management-software-virksomhed, meddelte i går, at det har lidt et brud på datasikkerheden. Selv om virksomheden har ikke givet mange detaljer, de få, der har udgivet tyder på, at bruddet er omfattende.
Kunder var blevet advaret om hændelsen i en mail i går, og OneLogin også sendt en kort blog-indlæg om problemet. En mere detaljeret support er tilgængelig for kunder, men en tilsyneladende Pastebin kopi af den side, bemærker, at “kundens data blev kompromitteret, herunder evnen til at dekryptere krypterede data.”
OneLogin specialiserer sig i håndtering af logins og adgang til store virksomheder og tæller store tech-firmaer som Dropbox og Pinterest blandt sine kunder. Fra og med 2013, OneLogin pralede 12 millioner brugere over 700 virksomheder, og de tal har sandsynligvis vokset betydeligt i de sidste par år.
Det er ikke klart fra OneLogin ‘ s udtalelser så langt, hvilken slags kunde data blev stjålet, men det faktum, at virksomheden er at rådgive masse adgangskode nulstilles tyder på, at adgangskoder kan have været kompromitteret. Dette betyder, at mange virksomheder kommer til at bruge i dag på at gøre sikkerhed clean-up. Indtil flere oplysninger kan dukke op, det er heller ikke klart, hvad bruddet betyder for folk, at bruge tjenester, der tilbydes af OneLogin ‘ s kunder.
Alvaro Hoyos, OneLogin, chief information security officer, sagde i de blog-indlæg, at virksomheden opdagede bruddet i går, og at dens undersøgelse af, hvad der skete, er i gang. Hoyos tilføjet nogle oplysninger om undersøgelsen:
I dag har vi fundet uautoriseret adgang til OneLogin data i vores AMERIKANSKE data regionen. Vi har siden blokeret dette uautoriseret adgang, indberettes sagen til retshåndhævelse, og arbejder med en uafhængig vagtselskab til at bestemme, hvordan uautoriseret adgang sket, og kontrollere omfanget af virkningerne af denne hændelse. Vi ønsker at vores kunder skal vide, at den tillid, de har lagt i os, er i højsædet.
Dette er den anden brud OneLogin har været udsat for nylig. I August 2016, Hoyos meddelte, at en hacker havde brudt ind i et system, der anvendes til “log opbevaring og analytics.” Angriberen har brugt en OneLogin medarbejder adgangskode for at få adgang til systemet, hvor de var i stand til at se kundens Sikker Noter i almindelig tekst, før de blev krypteret. Hoyos sagde, at angriberen havde adgang til systemet mellem juli 2 og 25 August i det pågældende år.
Andre adgangskode ledere har lidt sikkerhedsspørgsmål for nylig—LastPass lappet en sårbarhed i Marts, der kunne have tilladt tyveri af data. Men den sårbarhed, som blev rapporteret af en forsker og der er ingen beviser for, at det nogensinde blev udnyttet.
Gizmodo har nået ud til at OneLogin for kommentar til i går ‘ s brud, og vi vil opdatere, hvis vi hører tilbage.