OneLogin is slachtoffer geworden van een datadiefstal, waarbij de cybercriminelen mogelijk ook aan de haal zijn gegaan met informatie om geëncrypteerde data te ontsluiten.

Cybercriminelen slaagden erin om binnen te dringen op de Amerikaanse servers van wachtwoordmanager OneLogin en daarbij belangrijke informatie te stelen. Het bedrijf liet vorige donderdag al weten dat het onregelmatigheden had ontdekt in zijn systeem, maar bleef in zijn publieke communicatie erg op de vlakte over de reële impact van de inbreuk. In e-mails aan klanten gaf de ontwikkelaar echter toe dat er effectief data gestolen was, zo rapporteerde website Motherboard.

Ongewone activiteit

OneLogin is een populaire wachtwoordmanager die zich vooral richt op bedrijven. Met behulp van digitale sleutels voor Amazon Web Services wisten de cybercriminelen zich op 31 mei toegang te verschaffen tot de servers van OneLogin in de Verenigde Staten. Volgens de gegevens van OneLogin startte de aanval om 2 uur ‘s morgens en werd deze zeven uur later geblokkeerd, nadat een medewerker de ongewone activiteit had ontdekt.

“De bedreigende actor slaagde erin om toegang te krijgen tot database-tabellen met informatie over gebruikers, apps en verschillende types van sleutels,” verklaarde Alvaro Hoyos, security-topman bij OneLogin. “Alhoewel we zekere gevoelige data encrypteren, kunnen we op dit moment niet uitsluiten dat de bedreigende actor ook de mogelijkheid heeft achterhaald om data te decrypteren.”

Volledige reset

 

De ernst van de aanval is ook af te leiden uit de maatregelen die OneLogin aanbeveelt aan zijn klanten om hun data veilig te stellen. Niet alleen moeten hun eindgebruikers hun wachtwoorden veranderen, de ontwikkelaar raadt ook aan om nieuwe API-sleutels en OAuth-tokens aan te maken en om nieuwe veiligheidscertificaten en referenties te creëren, wat er min of meer op neerkomt dat bedrijven hun volledige loginsysteem opnieuw moeten instellen.

Een deel van het probleem waar OneLogin zich nu mee geconfronteerd ziet, is veroorzaakt door het feit dat het bedrijf zelf de decryptiesleutels voor diens klanten bijhoudt. Andere wachtwoordmanagers, zoals LastPass, kiezen ervoor om dat niet te doen. Het brengt meer verantwoordelijkheid voor de gebruiker met zich mee, omdat ze zelf moeten zorgen dat ze de sleutels bijhouden, maar verkleint ook de kans dat iemand die informatie steelt.

3 REACTIES

  1. Mij niet gezien, zo’n wachtwoorden verzamel-ding. Postzegels verzamel ik ook niet… Ik heb een super klein schriftje en daarin staan alle wachtwoorden. Roof en/of inbraak is nodig om dat te stelen.

    • Jouw schriftje is toch ook een wachtwoorden verzamel-ding?

      >> Mij niet gezien, zo’n wachtwoorden verzamel-ding.
      1. Artikel goed lezen (OneLogin gaat over een oplossing voor *bedrijven*)
      2. en niet te snel *algemene* conclusies trekken (Lastpass bv. houdt géén decryptiesleutels bij, zoals in het artikel staat – m.a.w. als je je masterpaswoord enkel in je je hoofd bewaart, vallen je paswoorden niet door hackers noch door LastPass zelf te decrypteren)

      >> Roof en/of inbraak is nodig om dat te stelen.
      Of brand. Of één maal ergens laten liggen waar het niet hoort te liggen. En als je bv. op reis gaat heb je je wachtwoorden niet mee. (Ik heb dat écht nodig) Of je hebt je schriftje wel mee, maar dan heb je heel wat meer kans dat je paswoorden “gehackt” worden dan indien ze in LastPass’ database zitten.
      Echt, think again. Beslis op basis van door jezelf onderzochte feiten en niet op een “schrikgevoel” dat je krijgt bij het lezen van artikels zoals dit.

      • Brand is hier met het houten huis zo rampzalig dat mijn eerste zorg zeker niet mijn pass words zijn. De voorzorgen zijn dramatisch om brand te voorkomen, niet in de laatste plaats vanuit de regelgeving. Twee maal per jaar wordt de schoorsteen geveegd door de verplichte gemeente veger die gelijk controleert of alles nog goed is. Eens in de 5 jaar wordt het hele huis gecontroleerd op alle punten die van belang zijn.
        Als de band van elders komt, hebben we minimaal een half uur om letterlijk alles van waarde uit het huis te halen. Ik maak mij geen zorgen (maar heb wel 3 brandblussers).

        Ik ben blij voor je dat je zo goed van vertrouwen bent om te denken dat een ander programma veilig kan zijn. Ik ben te oud om nog goedgelovig te zijn en heb ietsjes te veel ervaring in security. Ooit was wantrouwen een deel van het werk.

        Ik ben nog nooit bestolen van iets waardevols en heb nog nooit in de laatste 60 jaar iets laten slingeren. (Behalve 1x mijn Nikon laten staan bij kennissen.)
        Met vakantie neem ik mee:
        – de spullen om te internetbankieren.
        – de backup HD waar alles op staat
        – het schriftje (het past in het zakje van mijn overhemd)
        – alle mem kaartjes en stickies
        – het laptopje.
        Het hele zooitje past met gemak in mijn oude schoudertas incl. de Nikon met de lenzen.
        Die tas ziet er slecht genoeg uit om niet uitsloverig te zijn en is voorzien van een anti-diefstal beveiliging.
        En de rest zijn “normale” dingen.

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here