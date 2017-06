OneLogin, il servizio di gestione delle identità per le applicazioni cloud-based che offre la possibilità di avere una singola azione di login, ha comunicato di essere stata vittima di una violazione dei suoi sistemi informativi, che ha portato alla sottrazione di informazioni sensibili dei clienti. La vicenda è stata inizialmente gestita in maniera discutibile da OneLogin, con una strategia di comunicazione verso il pubblico non esattamente impeccabile.

La società, infatti, ha dapprima contattato i clienti con una mail generica avvisandoli che i loro dati sensibili avrebbero potuto essere stati esposti ed in seconda battuta ha pubblicato una pagina di supporto accessibile solo ai titolari di un account OneLogin dove veniva indicato "le informazioni dei clienti sono state compromesse, inclusa l'abilità di decifrare dati crittografati".

Infine ha emesso una nota con la quale ha comunicato di aver "bloccato l'accesso non autorizzato, segnalato quanto accaduto alle autorità e di essere al lavoro con una società di sicurezza indipendente per determinare come ciò sia avvenuto e verificare la portata dell'impatto dell'incidente". La società ha poi proseguito: "Vogliamo che i nostri clienti sappiano che la fiducia che hanno riposto in noi è di primaria importanza. Mentre le indagini sono ancora in corso, abbiamo già raggiunto i clienti colpiti dando loro raccomandazioni specifiche e passi da compiere per rimediare, e stiamo lavorando attivamente per determinare come meglio prevenire un incidente del genere in futuro, e aggiorneremo i nostri clienti quando avremo implementato queste migliorie".

OneLogin in particolare avrebbe comunicato informazioni leggermente differenti a seconda degli utenti contattati. Non è chiaro per quale motivo la società abbia segmentato in questo modo la divulgazione del problema, anche se è possibile che l'intenzione fosse quella di rivelare i dettagli solamente ai clienti colpiti dall'attacco per evitare di portare alla luce ulteriori potenziali punti deboli.

Infine nella giornata di giovedì la società ha confermato che un "threat actor" ha avuto accesso al contenuto di un database comprendente informazioni sugli utenti, sulle app e su vari tipi di chiavi: "La nostra analisi ha mostrato che un threat actor ha ottenuto l'accesso ad un set di chiavi AWS e le ha usate per accedere alle API AWS da un host intermedio tramite un ISP negli USA. Le prove mostrano che l'attacco è iniziato il 31 maggio alle 2PST. Tramite le API AWS l'attaccante ha creato varie istanze nella nostra infrastruttura a scopo di individuazione dei bersagli. Lo staff di OneLogin ha ravvisato un'inusuale attività del database attorno alle 9PST e nel giro di pochi minuti ha disattivato l'istanza compromessa e le chiavi AWS usate per crearla".

OneLogin ha spiegato che per mettere al sicuro gli account è necessario generare nuove credenziali per le API e nuovi token OAuth. Tutti i clienti serviti dai datacenter della società situati negli USA sono stati colpiti dal problema. Non è la prima volta che OneLogin subisce una violazione: lo scorso agosto la società aveva rivelato di essere stata vittima di un attacco avvenuto sfruttando un bug sul servizio Secure Note che effettuava il login con testo in chiaro.