The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Утечка информации из сервиса OneLogin"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Утечка информации из сервиса OneLogin"  +/
Сообщение от opennews on 02-Июн-17, 21:02 
Сервис OneLogin, предоставляющий средства для организации единой точки входа, централизованного управления учётными записями и параметрами аутентификации для разных сайтов, сообщил (https://www.onelogin.com/blog/may-31-2017-security-incident), что на днях произошел инцидент, в результате которого возникла утечка информации о потребителях. Утечка затронула хранимые пароли, OAuth-токены, ключи к AWS (Amazon Web Services‎), различные типы ключей доступа и другие привязанные к пользователю данные. Сведения о пользователях хранились в зашифрованном виде, но атакующие имели возможность их расшифровать.


Размер утечки и причины пока не сообщаются, известно лишь, что атакующие  в течение семи часов имели доступ к инфраструктуре. Атака была выявлена по аномальному всплеску активности СУБД. Для проникновения в инфраструктуру злоумышленники использовали AWS API  и ключи к  AWS, попавшие в руки атакующих.  Вcем пользователям OneLogin рекомендуется незамедлитулно обновить пароли и сгенерировать новые OAuth токены для всех сайтов, для входа на которые использовался OneLogin.


URL: https://arstechnica.co.uk/security/2017/06/onelogin-data-bre.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=46643

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Утечка информации из сервиса OneLogin"  +53 +/
Сообщение от Хорошийкомп on 02-Июн-17, 21:02 
Единную точку отказа мы долго-долго строили и наконец построили ,бгг...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Утечка информации из сервиса OneLogin"  +2 +/
Сообщение от Аноним (??) on 02-Июн-17, 21:03 
Клоунада
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Утечка информации из сервиса OneLogin"  +9 +/
Сообщение от Ненужно on 02-Июн-17, 21:05 
>средства для организации единой точки входа, централизованного управления учётными записями и параметрами аутентификации для разных сайтов

Уж сколько раз твердили миру не хранить все яйца в одной корзине

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Утечка информации из сервиса OneLogin"  –3 +/
Сообщение от Кверти on 03-Июн-17, 00:28 
Уж сколько раз твердили миру - не складывать в одну корзину!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "Утечка информации из сервиса OneLogin"  +1 +/
Сообщение от Аноним (??) on 03-Июн-17, 03:06 
Каждому яйцу по корзине!
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Утечка информации из сервиса OneLogin"  +12 +/
Сообщение от Аноним (??) on 03-Июн-17, 04:46 
Каждому пользующемуся - корзиной по яйцу! Каждому.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

35. "Утечка информации из сервиса OneLogin"  +1 +/
Сообщение от Аноним (??) on 05-Июн-17, 10:13 
не более одного для каждого экземпляра человека
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

38. "Утечка информации из сервиса OneLogin"  –1 +/
Сообщение от очбыл on 05-Июн-17, 18:52 
но ведь хранят некоторые в одной мошонке все яйца...
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Утечка информации из сервиса OneLogin"  +19 +/
Сообщение от Xrenoxod (ok) on 02-Июн-17, 21:17 
Зашибись построен бизнес.
Стикеры с паролями, приклеенные к монитору, просто рвут все эти сервисы по уровню безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Утечка информации из сервиса OneLogin"  +3 +/
Сообщение от пох on 02-Июн-17, 22:24 
> Стикеры с паролями, приклеенные к монитору, просто рвут все эти сервисы по уровню
> безопасности.

безусловно. Они требуют физического проникновения на защищенную территорию, закрытый ими сервис может не иметь никакого доступа из внешнего мира (в отличие от сервисов, пользующихся услугами внешних авторизовалок - как-то они должны получить от них подтверждение), и, главное - сколько мой монитор не пытай на подвале, он, бедный, так и не скажет, от чего именно какой пароль.

Единственный недостаток - сперли монитор, прощай все доступы.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Утечка информации из сервиса OneLogin"  –2 +/
Сообщение от нах on 02-Июн-17, 22:34 
Зачем его куда-то спирать? Сфотать нынче можно и тапком.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Утечка информации из сервиса OneLogin"  –1 +/
Сообщение от пох on 02-Июн-17, 23:36 
> Зачем его куда-то спирать? Сфотать нынче можно и тапком.

ты фотограф или хакер, я что-то не разберу? Если ты беспалевно оказался в таком месте, откуда можно сфотать этот монитор (или, скажем, получил доступ к камерам, в которые его как-то видно), да еще и знаешь чей он - тебе нахрен не нужны эти пароли (конечно, если они тебе не из эстетических соображений интересны, для создания фотошедевра).

Там на соседних столах лежат документы, которые дороже любых паролей обойдутся. Можно даже не фотать, а тупо спереть оригинал, и кошелечек, кстати, прихватить (скока-скока там сперли в ЦБ надысь? Зачем этому пароли, он и так в шоколаде, и безпалева)

Если у тебя в конторе _даже_ физической безопасности нет, чего уж там секретничать...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Утечка информации из сервиса OneLogin"  +4 +/
Сообщение от Аноним (??) on 03-Июн-17, 08:23 
> ты фотограф или хакер, я что-то не разберу?

То есть если он хакер, то сразу спердеть монитор?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Утечка информации из сервиса OneLogin"  –4 +/
Сообщение от пох on 03-Июн-17, 13:55 
> То есть если он хакер, то сразу спердеть монитор?

ну кто-то же его сп-л?! Навряд ли это был фотограф, там матрица очень так себе.
А мне пришлось из-за злых хакеров кучу паролей менять, что я ,помню что-ли, что там было понаклеено...

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

34. "Утечка информации из сервиса OneLogin"  +/
Сообщение от freehck email(ok) on 04-Июн-17, 20:58 
> Стикеры с паролями, приклеенные к монитору, просто рвут все эти сервисы по уровню безопасности.

А рвут ли? За безопасностью паролей на сервисах всё же следят, и даже уведомляют вон. А если кто-то подсмотрит стикер или файл с паролями у Вас на диске? Думаю, никогда не узнаете об этом. Впрочем, сам-то я тоже файл с паролем использую...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

36. "Утечка информации из сервиса OneLogin"  –1 +/
Сообщение от пох on 05-Июн-17, 15:02 
> А рвут ли? За безопасностью паролей на сервисах всё же следят, и даже уведомляют вон.

когда уследят - то уведомляют (иногда). А вдруг не уследят? Не спалился б тот лох сверхнагрузкой на базу, в попытках разом унести все - глядишь, может и не заметили бы еще годик-два.

> А если кто-то подсмотрит стикер или файл с паролями у Вас на диске?

ну то же самое - если я ентого фотохрафа сам поймаю, то в грызло дам и мобилу отожму, как содержащую секретные сведения. Если безопасник поймает - то мобило ему достанется, а мне он может скажет, а может как повезет, хрен их, безопасников, знает, у них идеи разные бывают. А если под видом уборщицы ночью прокрадется, заляпав камеры грязной тряпкой, без палева, то, в общем, та же канитель, что и с централизованным сервисом, который поломали, а никто не заметил.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

6. "Утечка информации из сервиса OneLogin"  +8 +/
Сообщение от Аноним (??) on 02-Июн-17, 21:40 
> Вcем пользователям OneLogin рекомендуется незамедлитулно обновить пароли и сгенерировать новые OAuth токены для всех сайтов, для входа на которые использовался OneLogin

и продолжить пользоваться OneLogin.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Утечка информации из сервиса OneLogin"  +1 +/
Сообщение от тоже Аноним (ok) on 03-Июн-17, 00:03 
Говорят, один сервис разослал своим клиентам письмо с извинениями и текстом "мы облажались, не пользуйтесь больше таким стремным сервисом".
Врут.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Утечка информации из сервиса OneLogin"  +3 +/
Сообщение от ЛинуксоидЪ on 03-Июн-17, 00:57 
> Говорят, один сервис разослал своим клиентам письмо с извинениями и текстом "мы
> облажались, не пользуйтесь больше таким стремным сервисом".
> Врут.

Лет 10-15 назад вполне могло бы быть. В смысле, разослали бы вместе с доказательствами те, кто упер данные, чисто по приколу. Сейчас, увы, и в IT выросло свое поколение "бабки превыше всего!"


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Утечка информации из сервиса OneLogin"  +3 +/
Сообщение от Sabakwaka (ok) on 03-Июн-17, 11:56 
>>  Сейчас, увы, поколение "бабки превыше всего!"

Проблема тут, — в этой ситуации, когда OneLogin продолжит существовать, как ни в чем не бывало, — НЕ в обосравшемся OneLogin, а в ПОЛЬЗОВАТЕЛЯХ, которые продолжат платить  OneLogin'у деньги.

Если пользователь настолько непритязателен, что такие инциденты не производят на него впечатления — OneLogin будет жить. И суть тут не в подлости OneLogin'а, а в тупости юзера.

А юзер там отборный, прошедший фильтр «храним все ваши пароли в Сети». Такого юзера, которого не отвращает сама идея такого сервиса — ничем не испугать.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Утечка информации из сервиса OneLogin"  –1 +/
Сообщение от пох on 03-Июн-17, 14:10 
> Проблема тут, — в этой ситуации, когда OneLogin продолжит существовать, как ни
> в чем не бывало, — НЕ в обосравшемся OneLogin, а в
> ПОЛЬЗОВАТЕЛЯХ, которые продолжат платить  OneLogin'у деньги.

ты посмотри список побед, и поймешь, что спрыгнуть с "proper authentication to our 11,000 internal and 24,000 external users” не так-то и просто, если в принципе возможно без бизнес-катастрофы.

Кстати, никто не обещает твоему работодателю, что если дать тебе возможность построить подобную систему самому, то ее не поломают уже _прицельно_ - и это гораздо хуже, чем утечка некоторого количества данных из базы анлогина, не факт что кому-то сильно пригодившихся (хотя могли приходить за кем-то конкретным, и вот этому кому-то сейчас плохо).

> Если пользователь настолько непритязателен, что такие инциденты не производят

произвели. что дальше делать-то будем? См. выше что у них были за "пользователи".
И да, эта лавка _мебелью_ торгует - туда в принципе не удастся нанять нужное количество компенентных людей, морды воротят, это не гугль и не амазон, где весь Бомбей в очереди на собеседование стоит. Некомпетентные сделают еще хуже и дырявее, да еще и бизнес-процессы положат.

> А юзер там отборный, прошедший фильтр «храним все ваши пароли в Сети».

куда ты денешься-то? Они еще и данные там хранят.

> Такого юзера, которого не отвращает сама идея такого сервиса — ничем
> не испугать.

я лет еще десять назад видел юзеров, категорически возражавших против нормальной офисной сети. "как можно, доверять свои данные какому-то серверу где-то в соседней комнате - а если заглючит?", вот локальный диск - это надежно и всегда под рукой, ага.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Утечка информации из сервиса OneLogin"  –1 +/
Сообщение от Sabakwaka (ok) on 03-Июн-17, 18:57 
Окей, я только за.

Пусть из этой лавки с мебелью вынесут всё. Лишь бы самой лавке нравилось.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Утечка информации из сервиса OneLogin"  –1 +/
Сообщение от пох on 03-Июн-17, 21:15 
> Пусть из этой лавки с мебелью вынесут всё. Лишь бы самой лавке
> нравилось.

лавке может и не очень нравится - но ты ж ей предложить ничего другого не можешь (ну, в смысле - предложить-то сможешь, не сможешь потом отвечать за базар). А на монитор пароли в таком количестве не прилепляются, даже если это десятифутовая плазма во дворце CEO.
И пока приклеишь - первые уже отвалиться успевают. Поэтому мое решение им тоже не подходит.

Интересно, у анал-логина конкурентов-то поприличнее - совсем, выходит, нет?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Утечка информации из сервиса OneLogin"  –1 +/
Сообщение от Sabakwaka (ok) on 03-Июн-17, 22:19 
> лавке может и не очень нравится - но ты ж ей предложить
> ничего другого не можешь

Могу.
СТАНДАРТНУЮ ЛУЧШУЮ бизнес-практику: из отдела кадров гражданин выносит бумажку со временным паролем и предписанием сменить его при первом входе.

НЕ способные управиться с собственными креденциями — СКОРЫМ ШАГОМ (или, как еще говорят, пенделем пацсракку) проходят прямо на улицу — там стоит очередь из желающих занять их место.

И далее: как это мудологино управляется с AD?
ВЕЗДЕ (кроме свинарников) стоит необходимость менять пароль пару раз в квартал.
И че? Впиливаются в логин??? Не смешите мои тапочки :)

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Утечка информации из сервиса OneLogin"  –1 +/
Сообщение от пох on 04-Июн-17, 14:51 
> СТАНДАРТНУЮ ЛУЧШУЮ бизнес-практику

для лавок из трех человек и двух компьютеров. Увы, это и есть то, что я имел в виду - фанаберии у тебя много, как и у большинства местных горе-экспертов, а хотя бы отдаленного представления о работе контор, где работает десяток тысяч человек - ни малейшего.

паролей, которые надо бы "сменить при первом входе" у меня вот на текущем рабочем месте около двух десятков. Удержать это все в голове - не смешите мои тапочки, мальчики с феноменальной памятью (к тому же некоторые из них не пароли, а сертификаты). Они еще и протухают регулярно и неотключаемо иногда.
Это еще хорошо, что тут глупой паранойей не болеют, а то на многих из предыдущих мест были еще и "пароли, которые никак нельзя поменять", которыми были закрыты какие-нибудь древние изолированные хреновины, и я даже не знаю, что хуже - когда пароль название железки, или когда нечто бессмысленное в лучших традициях mixed case, some digits, some non-alpha плюс серт - и таких, если лавка проработала не год и не два, внезапно, тоже не один и не два. В результате вся секьюрить сводится к херу - все, кому они нужны хотя бы изредка, вынуждены их где-то записывать, причем это "где-то" должно быть под рукой.

> НЕ способные управиться с собственными креденциями — СКОРЫМ ШАГОМ (или, как еще говорят,
> пенделем пацсракку) проходят прямо на улицу — там стоит очередь из желающих занять их
> место.

влажные детские фантазии. Из лавки типа упомянутой гораздо скорее вышвырнут заигравшегося в царька админа (на самом деле для тебя без шансов и в первый раз туда попасть, потому как умение/понимание работы в большом коллективе - одна из немногих вещей, которую даже hr умеют проверять) - вот на это место как раз и впрямь, очередь желающих. И цель бизнеса - вовсе не в создании идеально защищенной айтишной сети, ну надо же.

> И далее: как это мудологино управляется с AD?

как обычно, полагаю - аккуратно тырит оттуда данные, прямо по мере поступления.
(ну и, разумеется, наоборот - когда меняешь в нем, сохраняет в AD. Причем этих AD может быть не один, несвязанных). Это-то как раз нифига не фокус, куча всяких энтерпрайз-секьюрити-поделок умеет влезать в этот механизм либо через ldap, либо напрямую (у этих, кажется, напрямую, свой сервис внутри каждого не-RO DC - вряд ли для чего-то еще).

> ВЕЗДЕ (кроме свинарников) стоит необходимость менять пароль пару раз в квартал.

вообще-то идея на редкость дурацкая, но не вижу,что мешает просто перенести этот функционал в SSO-систему - они это вполне умеют делать за тебя.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

31. "Утечка информации из сервиса OneLogin"  +/
Сообщение от Аноним (??) on 03-Июн-17, 23:51 
проблема не в том, что всем юзерам пофиг на их пароли, а что большинство банально не шарят в достаточной степени, чтобы понять, что хранить пароли в вебе - не сесурно. Чем и пользуются маркетолухи.
С одной стороны - не мамонты, не вымрут. В том плане, что грех не воспользоваться людской глупостью. С другой же - все когда то с чего то начинали. Не факт, что нынешний пользователь сей корзины завтра не подучит матчасть и не пойдет в безопасники. И вот за таких людей обиднее всего.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Утечка информации из сервиса OneLogin"  +/
Сообщение от Аноним (??) on 03-Июн-17, 16:12 
Можно зайти на главную Уанлогина в раздел "Отзывы" и представить, как эти солидные дяденьки с фотографий нынче судорожно меняют пароли...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Утечка информации из сервиса OneLogin"  –1 +/
Сообщение от пох on 03-Июн-17, 21:07 
> Можно зайти на главную Уанлогина в раздел "Отзывы" и представить, как эти
> солидные дяденьки с фотографий нынче судорожно меняют пароли...

дяденькины индусы-подчиненные меняют, дяденьке неприлично самому.

но вот перед боссом краснеть и оправдываться да, придется лично.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

22. "Утечка информации из сервиса OneLogin"  +/
Сообщение от Аноним (??) on 03-Июн-17, 18:19 
Что-то мне подсказывает, что иногда это предоставление данных спецслужбам под видом "взлома".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Утечка информации из сервиса OneLogin"  +/
Сообщение от . on 03-Июн-17, 20:47 
> Что-то мне подсказывает, что иногда это предоставление данных спецслужбам
> под видом "взлома".

товарищ майор недоволен - ну предоставили. а нахрена шухер-то поднимать?
г-н ceo еще больше недоволен - мало того, что майор наследил грязными ботинками на драгоценный ковер, так еще и капитализацию уронили вдвое.
Угадай, кого сегодня вечером ждет "темная"?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

23. "Утечка информации из сервиса OneLogin"  +7 +/
Сообщение от Кровавое Око Саурона on 03-Июн-17, 18:56 
Один чтоб править всеми...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Утечка информации из сервиса OneLogin"  +/
Сообщение от Аноним (??) on 03-Июн-17, 23:13 
...рабами.
Так если подумать - есть природа и ее для всего. Вам тоже нужны посредники в виде людей?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Утечка информации из сервиса OneLogin"  +/
Сообщение от Аноним (??) on 03-Июн-17, 23:14 
ее законы*
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

37. "Утечка информации из сервиса OneLogin"  +1 +/
Сообщение от рептилоид on 05-Июн-17, 15:07 
> ...рабами.
> Вам тоже нужны посредники в виде людей?

честно говоря - нет. Рабы вы косорукие, что ни дай, все onelogin выходит, посредники ненадежные, вечно забухать норовят и тем порушить коварный план, пользы от вашей цивилизации вообще никакой.



Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

39. "Утечка информации из сервиса OneLogin"  +/
Сообщение от Аноним (??) on 06-Июн-17, 11:20 
> Вcем пользователям OneLogin рекомендуется незамедлительно обновить пароли и сгенерировать новые OAuth токены для всех сайтов, для входа на которые использовался OneLogin.

По-моему пользователи выбирали сервис чтобы этим не заниматься. Лол.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Утечка информации из сервиса OneLogin"  +/
Сообщение от Аноним (??) on 06-Июн-17, 18:13 
>> Вcем пользователям OneLogin рекомендуется

не использовать онлайн-сервисы для хранения паролей.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру