パスワードの秘密基地 OneLogin が侵害を受けましたが、これは深刻な事態です。侵害を受けたサービスは、管理者パスワードやソフトウェア キーなどの認証情報を保存するためによく使用されるサービスだからです。
オンライン認証情報管理ツールは、セキュアノート機能が侵害され、侵入者が今年6月2日から8月25日の間に編集された平文のメモを読むことができたと述べている。
約 1,200 万人の顧客が OneLogin を使用しています。
被害に遭った人々にとって、これは危険な侵害となる可能性があります。OneLoginは、Secure Notesが「ライセンスキーやファイアウォールのパスワードなどの情報」を保存するために利用される可能性があると示唆しており、IT担当者がアドバイスに従い、機密性の高い認証情報をサービス内に保存した場合、盗まれたデータはネットワークの悪用や横方向の移動の材料となる可能性があります。
OneLogin は、この事件の詳細を発表し、ユーザーのメモエントリが「複数レベルの AES-256 暗号化」が施される前にログに表示される原因は、詳細不明のバグにあると主張した。
犯行に及んだハッカーは、不明な手段で従業員のパスワードを盗み、それを使って会社の内部情報にアクセスしたという。
同社にはコメントを求めて連絡を取った。
「ログ管理システムの活動に基づき、侵入者は少なくとも2016年7月25日から2016年8月25日までの期間に更新されたメモを閲覧できたことがわかった」と最高情報セキュリティ責任者のアルバロ・オヨス氏は声明で述べている。
侵入者は2016年7月2日には既に存在していたため、2016年6月2日から2016年7月24日までの間に更新されたメモも危険にさらされていることをお客様にお知らせします。
顧客に送信される OneLogin 電子メール。
トロイ・ハント。
同サービスは、影響を受けたユーザーに連絡を取り、対象は顧客の「ごく一部」にあたると述べた。
OneLoginは、侵入後の適切な掃討を確実に行うために、名前を明かさない外部のセキュリティ会社を採用した。
クリーンアップには、影響を受けるログ管理システムへのアクセスを SAML ベースの認証と IP アドレスのホワイトリストからのアクセスに制限すること、およびこのセキュリティ レベルに準拠していないすべての内部システム パスワードをリセットすることが含まれます。
「改めて、心よりお詫び申し上げます。今後、同様の事態が発生しないよう、全力を尽くしてまいります」とホヨス氏は述べた。
Google Project Zeroの研究者、Tavis Ormandy氏は、最近パスワードマネージャーを標的にした数々のデータ侵害事件で、クラウドベースのバージョンは極めて安全性が低く、避けるべき技術であることが判明した。
彼は最近、パスワード ボールト LastPass に、多数のユーザーを危険にさらす、その後修正されたゼロデイ脆弱性を発見しました。®
