Problema di sicurezza per OneLogin, violati i database

Problema di sicurezza per OneLogin, violati i database

La violazione avvenuta la scorsa settimana. La società ha divulgato le informazioni in maniera disomogenea e frammentaria, forse per evitare di portare alla luce altri punti deboli

di Andrea Bai pubblicata il , alle 18:21 nel canale Sicurezza
 

OneLogin, il servizio di gestione delle identità per le applicazioni cloud-based che offre la possibilità di avere una singola azione di login, ha comunicato di essere stata vittima di una violazione dei suoi sistemi informativi, che ha portato alla sottrazione di informazioni sensibili dei clienti. La vicenda è stata inizialmente gestita in maniera discutibile da OneLogin, con una strategia di comunicazione verso il pubblico non esattamente impeccabile.

La società, infatti, ha dapprima contattato i clienti con una mail generica avvisandoli che i loro dati sensibili avrebbero potuto essere stati esposti ed in seconda battuta ha pubblicato una pagina di supporto accessibile solo ai titolari di un account OneLogin dove veniva indicato "le informazioni dei clienti sono state compromesse, inclusa l'abilità di decifrare dati crittografati".

Infine ha emesso una nota con la quale ha comunicato di aver "bloccato l'accesso non autorizzato, segnalato quanto accaduto alle autorità e di essere al lavoro con una società di sicurezza indipendente per determinare come ciò sia avvenuto e verificare la portata dell'impatto dell'incidente". La società ha poi proseguito: "Vogliamo che i nostri clienti sappiano che la fiducia che hanno riposto in noi è di primaria importanza. Mentre le indagini sono ancora in corso, abbiamo già raggiunto i clienti colpiti dando loro raccomandazioni specifiche e passi da compiere per rimediare, e stiamo lavorando attivamente per determinare come meglio prevenire un incidente del genere in futuro, e aggiorneremo i nostri clienti quando avremo implementato queste migliorie".

OneLogin in particolare avrebbe comunicato informazioni leggermente differenti a seconda degli utenti contattati. Non è chiaro per quale motivo la società abbia segmentato in questo modo la divulgazione del problema, anche se è possibile che l'intenzione fosse quella di rivelare i dettagli solamente ai clienti colpiti dall'attacco per evitare di portare alla luce ulteriori potenziali punti deboli.

Infine nella giornata di giovedì la società ha confermato che un "threat actor" ha avuto accesso al contenuto di un database comprendente informazioni sugli utenti, sulle app e su vari tipi di chiavi: "La nostra analisi ha mostrato che un threat actor ha ottenuto l'accesso ad un set di chiavi AWS e le ha usate per accedere alle API AWS da un host intermedio tramite un ISP negli USA. Le prove mostrano che l'attacco è iniziato il 31 maggio alle 2PST. Tramite le API AWS l'attaccante ha creato varie istanze nella nostra infrastruttura a scopo di individuazione dei bersagli. Lo staff di OneLogin ha ravvisato un'inusuale attività del database attorno alle 9PST e nel giro di pochi minuti ha disattivato l'istanza compromessa e le chiavi AWS usate per crearla".

OneLogin ha spiegato che per mettere al sicuro gli account è necessario generare nuove credenziali per le API e nuovi token OAuth. Tutti i clienti serviti dai datacenter della società situati negli USA sono stati colpiti dal problema. Non è la prima volta che OneLogin subisce una violazione: lo scorso agosto la società aveva rivelato di essere stata vittima di un attacco avvenuto sfruttando un bug sul servizio Secure Note che effettuava il login con testo in chiaro.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Alessio.1639005 Giugno 2017, 18:24 #1
Sempre più convinto: il cloud è il male.
ImperatoreNeo05 Giugno 2017, 20:01 #2
Sono d'accordo. Il mio capo me lo disse 20 anni fa.. quando ci sono dati di molti é più facile trovare farabutti pronti a dedicare sforzi a cercare falle..
Sandro kensan05 Giugno 2017, 21:38 #3
Meglio Sync di firefox nel cloud, il sistema è comodo e sicuro, nessuna falla fin'ora e credo mai ce ne saranno. Sistema semplice e open source, crittografia end to end. Sistema presente da molto tempo, Improbabili le falle.

https://support.mozilla.org/it/kb/c...re-firefox-sync

L'unica falla possibile è quella di un insider che metta un baco e che poi si diffonda nei repository senza che nessuno lo noti: molto improbabile.
Sandro kensan05 Giugno 2017, 21:39 #4
Tra l'altro un sacco di sistemi (laspass?) sono stati compromessi in vario modo negli ultimi tempi.
Alessio.1639005 Giugno 2017, 21:40 #5
Originariamente inviato da: Sandro kensan
credo mai ce ne saranno.



Parlami di heartbleed e compagnia bella.
LukeIlBello06 Giugno 2017, 12:49 #6
Originariamente inviato da: Sandro kensan
Meglio Sync di firefox nel cloud, il sistema è comodo e sicuro, nessuna falla fin'ora e credo mai ce ne saranno. Sistema semplice e open source, crittografia end to end. Sistema presente da molto tempo, Improbabili le falle.

https://support.mozilla.org/it/kb/c...re-firefox-sync

L'unica falla possibile è quella di un insider che metta un baco e che poi si diffonda nei repository senza che nessuno lo noti: molto improbabile.


ma quale sync, ma ancora col cloud stiamo??
non si vuole proprio capire che il cloud non va usato se non per le foto di famiglia?
i dati vanno tenuti in offline sul proprio data-center. stop.
Zenida06 Giugno 2017, 23:11 #7
Originariamente inviato da: Alessio.16390
Sempre più convinto: il cloud è il male.


Originariamente inviato da: LukeIlBello
ma quale sync, ma ancora col cloud stiamo??
non si vuole proprio capire che il cloud non va usato se non per le foto di famiglia?
i dati vanno tenuti in offline sul proprio data-center. stop.

Un pò catastrofisti.
Il cloud è insicuro come ogni cosa che abbia accesso ad internet.
Infatti non lo uso per lo storage di dati sensibili.
Originariamente inviato da: Sandro kensan
Meglio Sync di firefox nel cloud, il sistema è comodo e sicuro, nessuna falla fin'ora e credo mai ce ne saranno. Sistema semplice e open source, crittografia end to end. Sistema presente da molto tempo, Improbabili le falle.

https://support.mozilla.org/it/kb/c...re-firefox-sync

L'unica falla possibile è quella di un insider che metta un baco e che poi si diffonda nei repository senza che nessuno lo noti: molto improbabile.

Io non ci metterei la mano sul fuoco...


MA SOPRATTUTTO... MA COME CAVOLO VI VIENE IN MENTE DI UTILIZZARE UN SITO PER CONSERVARE TUTTE LE PASSWORD????

Cioè è proprio l'antitesi della sicurezza... io non utilizzo e mai utilizzerò servizi del genere.
Col cavolo che metto a rischio ogni mio dato sul web affidandomi alla solidità di un singolo sito web!

Onestamente preferisco scordarmi la password e procedere con la procedura di recupero che farmi fregare tutte le credenziali in un colpo solo
nx-9907 Giugno 2017, 08:40 #8

Bunker

Prevedo un escalation di data center sequestrati a livello fisico, il rapimento 2.0.
Alessio.1639007 Giugno 2017, 11:30 #9
Originariamente inviato da: Zenida
Un pò catastrofisti.

cut

Onestamente preferisco scordarmi la password e procedere con la procedura di recupero che farmi fregare tutte le credenziali in un colpo solo


Ma nemmeno tanto catastrofisti.
Guarda che cosa succede per il malware che gira ora, si và sotto ricatto e molti pagano. Il discorso è lo stesso.

Attenzione, perchè c'è anche un altro problema:
Se usi la stessa password per tutto, si apre uno scenario:

basta che xyz buchi un sito, in cui tu sei registrato,
grab del database,
a disposizione mail e password
(si ok, è un hash nei siti decenti, ma comunque..)
trovata mail-password, se questa è la stessa per tutti i servizi si è nella cacca quanto si è nella cacca nel metterle in cloud.

Per cui:
No servizi Cloud per password/dati "importanti";
Password diverse per ogni servizio, o almeno:
siti stupidi=password stupida
siti seri (home banking e co.) = ogni sito una pwd

non si è al sicuro, ma almeno si complica la vita ai personaggi dispettosi

Comunque sarebbe da istruire un pò di più le persone sulla sicurezza.
La si prende sotto mano.
Il cloud è il MALE -per me-, ma anche la stupidità umana.
Example, ho un amico che lavora in un isola ecologica qualche paese dopo il mio, quindi si parla di RAEE, beh
le persone buttato tablet/telefoni/portatili/hdd senza togliere dati sopra.
Ci son le password salvate di Chrome/Firefox/IE
tutte le MAIL, foto personali, a volte anche compromettenti.
Lasciamo stare.
Il più delle volte sono dati di AZIENDE, anche di un certo livello.
Non pretendo dall'utonto un DoD 5220-22M o un Gutmann, ma almeno un wipe normale
LukeIlBello07 Giugno 2017, 12:58 #10
Originariamente inviato da: Alessio.16390
Ma nemmeno tanto catastrofisti.
Guarda che cosa succede per il malware che gira ora, si và sotto ricatto e molti pagano. Il discorso è lo stesso.

Attenzione, perchè c'è anche un altro problema:
Se usi la stessa password per tutto, si apre uno scenario:

basta che xyz buchi un sito, in cui tu sei registrato,
grab del database,
a disposizione mail e password
(si ok, è un hash nei siti decenti, ma comunque..)
trovata mail-password, se questa è la stessa per tutti i servizi si è nella cacca quanto si è nella cacca nel metterle in cloud.

Per cui:
No servizi Cloud per password/dati "importanti";
Password diverse per ogni servizio, o almeno:
siti stupidi=password stupida
siti seri (home banking e co.) = ogni sito una pwd

non si è al sicuro, ma almeno si complica la vita ai personaggi dispettosi

Comunque sarebbe da istruire un pò di più le persone sulla sicurezza.
La si prende sotto mano.
Il cloud è il MALE -per me-, ma anche la stupidità umana.
Example, ho un amico che lavora in un isola ecologica qualche paese dopo il mio, quindi si parla di RAEE, beh
le persone buttato tablet/telefoni/portatili/hdd senza togliere dati sopra.
Ci son le password salvate di Chrome/Firefox/IE
tutte le MAIL, foto personali, a volte anche compromettenti.
Lasciamo stare.
Il più delle volte sono dati di AZIENDE, anche di un certo livello.
Non pretendo dall'utonto un DoD 5220-22M o un Gutmann, ma almeno un wipe normale


no ma che dici! il cloud fa figo..
non essere così catastrofista

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^