Foto: AP
OneLogin, een identity management software bedrijf, maakte gisteren bekend dat het leed van een data-inbreuk. Hoewel het bedrijf niet in veel details, de paar die het heeft uitgebracht suggereren dat de inbreuk wordt uitgebreid.
Klanten waren gewaarschuwd over het incident in een e-mail van gisteren, en OneLogin ook geplaatst op een korte blog post over het probleem. Een meer gedetailleerde support pagina is toegankelijk voor klanten die alleen maar een schijnbare Pastebin kopie van de pagina opmerkingen dat “gegevens van de klant was aangetast, met inbegrip van de mogelijkheid voor het decoderen van gecodeerde gegevens.”
OneLogin is gespecialiseerd in het beheren van aanmeldingen en de toegang voor grote ondernemingen. Volgens haar website, telt het grote tech-bedrijven zoals Yelp en Pinterest onder de klanten.* Met ingang van 2013, OneLogin pochte 12 miljoen gebruikers over meer dan 700 bedrijven, en deze cijfers zijn waarschijnlijk aanzienlijk gegroeid in de laatste paar jaar.
Het is niet duidelijk uit OneLogin uitspraken tot dusver wat voor soort klant gegevens zijn gestolen, maar het feit dat het bedrijf adviseert massa wachtwoord suggereert dat de wachtwoorden in gevaar zijn gebracht. Dit betekent dat veel bedrijven gaan door te brengen vandaag doen beveiliging clean-up. Totdat er meer details bekend, het is ook niet duidelijk wat de schending betekent voor mensen die gebruik maken van de diensten aangeboden door OneLogin de klanten.
Alvaro Hoyos, OneLogin de chief information security officer, zei in de blog post dat het bedrijf ontdekte de schending van gisteren, en die van zijn onderzoek naar wat er gebeurd is aan de gang. Hoyos toegevoegd paar details over het onderzoek:
Vandaag hebben we onbevoegde toegang tot OneLogin gegevens in onze data regio. We hebben sinds geblokkeerd deze ongeautoriseerde toegang, meldde de zaak aan handhaving van de wet, en werken met een onafhankelijke security bedrijf om te bepalen hoe de onbevoegde toegang gebeurd en of de mate van de impact van dit incident. We willen dat onze klanten weten dat het vertrouwen dat zij in ons gesteld hebben is van cruciaal belang.
Dit is de tweede schending OneLogin heeft geleden onlangs. In augustus 2016 Hoyos bekend dat een hacker heeft ingebroken in een systeem dat gebruikt wordt voor “log-opslag en-analyse.” De aanvaller gebruikt een OneLogin medewerker wachtwoord om toegang te krijgen tot het systeem, waar ze in staat waren om te bekijken klant Beveiligde Notities in leesbare tekst voordat ze zijn versleuteld. Hoyos zei dat de aanvaller toegang tot het systeem tussen 2 juli en 25 augustus van dat jaar.
Andere wachtwoord managers hebben geleden beveiligingsproblemen onlangs—LastPass patched een beveiligingsprobleem in Maart dat zou hebben toegestaan diefstal van gegevens. Echter, de kwetsbaarheid werd gemeld door een onderzoeker en er is geen enkel bewijs dat het ooit werd benut.
Gizmodo heeft bereikt OneLogin voor een reactie op gisteren de tekortkoming, en werken we als we horen terug.
* Correctie: Een eerdere versie van dit verhaal vermeld Dropbox als klant van OneLogin. Hoewel OneLogin lijsten van Dropbox als een klant op de homepage, we hebben al gewaarschuwd voor het feit dat Dropbox is een integratie partner, niet een klant, wat betekent dat andere gebruikers kunnen inloggen op de Dropbox-diensten met behulp van OneLogin.