O Hack do OneLogin era sério e nos ensinou uma lição

Propaganda

Somos grandes fãs de gerenciadores de senhas Como os gerenciadores de senhas mantêm suas senhas segurasSenhas difíceis de decifrar também são difíceis de lembrar. Quer estar seguro? Você precisa de um gerenciador de senhas. Veja como eles funcionam e como eles mantêm você em segurança. consulte Mais informação aqui em MakeUseOf. Eles facilitam sua vida, aceleram muitos processos e melhoram sua segurança. Mas eles também concentram suas informações confidenciais de senha em um único local - e isso pode ser perigoso.

Caso em questão: o OneLogin, produtor de um aplicativo de gerenciamento de logon único e senha de nível corporativo, foi invadido em 31 de maio de 2017. E essas são realmente más notícias. Aqui está o que aconteceu, o que você deve fazer e algumas lições que podemos aprender.

O que aconteceu no OneLogin?

Aqui está o que o OneLogin diz:

"... um agente de ameaças usou uma de nossas chaves da AWS para obter acesso à nossa plataforma da AWS via API a partir de um host intermediário com outro provedor de serviços menor nos EUA ..."

O que isso significa? Isso significa que alguém estava analisando os dados confidenciais do OneLogin. E enquanto muitos desses dados são criptografados, o OneLogin acredita que os invasores conseguiram descriptografar pelo menos alguns dos dados.

Assim que os técnicos da OneLogin detectaram a invasão, eles desligaram os sistemas que estavam infiltrados. Infelizmente, foi relatado que eles não detectaram a invasão até sete horas após o início. É muito tempo para vasculhar dados confidenciais.

A que tipo de dados os invasores tiveram acesso?

"O agente de ameaças conseguiu acessar tabelas de banco de dados que contêm informações sobre usuários, aplicativos e vários tipos de chaves".

Embora não esteja claro exatamente qual é o escopo dessa lista, é definitivamente um monte de coisas sensíveis.

Para seu crédito, o OneLogin foi muito franco sobre esse incidente. Eles mantiveram um postagem de blog atualizada em seu site, se comunicou com os clientes sobre o ataque e forneceu conselhos sobre o que fazer. Até o momento, não há indicação de que a empresa tenha ofuscado o que aconteceu. (Embora eles possam ter subestimado a gravidade do ataque.)

O que você deve fazer se usar o OneLogin

O OneLogin lançou rapidamente um guia para ajudar os usuários a mitigar quaisquer efeitos do ataque (O registro Além disso publicou esta lista para não clientes). A lista inclui redefinições de senha, novos tokens de autenticação, remoção de notas seguras e várias outras sugestões técnicas em nível de administrador.

Se você é usuário do OneLogin, o curso de ação óbvio é muito mais simples: altere suas senhas e atualize seus tokens de autenticação. Vai demorar um pouco, mas vale a pena, porque há uma boa chance de alguém ter acesso a tudo o que você armazenou em sua conta. Altere sua senha mestra, altere as senhas para seus aplicativos, altere tudo o que você armazenou no OneLogin.

E jogue fora suas anotações seguras.

Sim, vai ser péssimo. Mas será muito menos do que ter um dos seus serviços importantes assumidos por um invasor (ou, possivelmente pior, retido por resgate).

O que podemos aprender com o OneLogin Hack

A primeira e mais preocupante lição é clara: as empresas de gerenciamento de logon único (SSO) e de senha não estão imunes a ameaças à segurança. Essas empresas sabem que a segurança é um grande problema para seus clientes e que elas possuem uma enorme quantidade de informações valiosas.

Mas coisas ruins acontecem. Nesse caso, as chaves da API que deram aos atacantes acesso ao OneLogin se originaram “de um host intermediário com outro, menor prestador de serviços nos EUA " Apesar da dedicação da OneLogin à segurança, as deficiências de outra empresa podem ter deixado os invasores no.

Infelizmente, nenhuma empresa é à prova de hackers. As empresas de gerenciamento de senhas e SSO levam a segurança muito a sério e geralmente fazem um bom trabalho. Mas isso estava prestes a acontecer.

No futuro, o que você pode fazer? Aqui estão algumas coisas a serem lembradas ao usar esses tipos de serviços.

Armazenar tudo em um só lugar é uma má ideia

Obviamente, você manterá suas senhas no seu aplicativo de gerenciamento de senhas. Mas deveria ser o repositório para tudo das suas informações confidenciais? Talvez não.

É fácil usar as notas seguras do LastPass, por exemplo, para manter as informações da sua conta bancária ou sua senha de Wi-Fi doméstica. Mas se esse serviço for hackeado, você estará analisando ainda mais problemas. Você pode já ter as informações do seu cartão de crédito armazenadas. No entanto, se você adicionar mais algumas informações importantes 10 informações que são usadas para roubar sua identidadeO roubo de identidade pode ser caro. Aqui estão as 10 informações que você precisa proteger para que sua identidade não seja roubada. consulte Mais informação , o roubo de identidade se torna muito mais fácil.

Considere usar outro serviço criptografado que não armazena informações na nuvem, como SplashID, ou apenas criptografar e proteger com senha uma pasta no seu computador Como proteger uma pasta no Windows com senhaPrecisa manter uma pasta do Windows privada? Aqui estão alguns métodos que você pode usar para proteger com senha seus arquivos em um PC com Windows 10. consulte Mais informação . É um pouco menos conveniente, mas pode reduzir significativamente a quantidade de dificuldade no caso de uma violação.

Pense duas vezes sobre o logon único

O SSO é excelente porque economiza muito tempo e mantém suas senhas no mínimo. OpenID, fazendo login com credenciais de redes sociais Usando o Login Social? Siga estas etapas para proteger suas contasSe você estiver usando um serviço de login social (como Google ou Facebook), poderá pensar que tudo está seguro. Não é assim - é hora de dar uma olhada nas fraquezas dos logins sociais. consulte Mais informação , e outros métodos semelhantes são bastante populares. (Para ser completamente honesto, eu mesmo os uso.)

A opção mais segura é simplesmente abrir uma conta com seu endereço de e-mail para cada site. Se você estiver usando um gerenciador de senhas, isso é fácil. Não é tão fácil quanto o OAuth ou um logon semelhante com um clique, mas é definitivamente mais seguro Como milhões de aplicativos são vulneráveis ​​a um único corte de segurançaOAuth é um padrão aberto usado para permitir que você faça login em um aplicativo ou site de terceiros usando uma conta do Facebook, Twitter ou Google - e é vulnerável a hackers. consulte Mais informação .

Para ser justo, algumas pessoas incentivam o uso do logon único como uma prática de segurança. Pese suas opções.

Usar autenticação de dois fatores em serviços importantes

Falamos sobre autenticação de dois fatores inúmeras vezes, mas se você não estiver familiarizado com ela, Li tudo sobre isso O que é autenticação de dois fatores e por que você deve usá-laA autenticação de dois fatores (2FA) é um método de segurança que requer duas maneiras diferentes de provar sua identidade. É comumente usado na vida cotidiana. Por exemplo, pagar com cartão de crédito não exige apenas o cartão, ... consulte Mais informação e aprender quais serviços podem usá-lo Bloqueie esses serviços agora com autenticação de dois fatoresA autenticação de dois fatores é a maneira inteligente de proteger suas contas online. Vamos dar uma olhada em alguns dos serviços que você pode bloquear com melhor segurança. consulte Mais informação . Em seguida, ligue-o.

Para quais serviços você deve usar a autenticação de dois fatores? Em resumo, o maior número possível. Seus serviços mais importantes, como email, bancos e armazenamento em nuvem, definitivamente devem ser protegidos por ele. Qualquer outra coisa é um bônus. Faça isso agora.

Fique Afiado

Os usuários do OneLogin aprenderam uma lição difícil: nenhum serviço é 100% seguro. Essa foi uma maneira particularmente dura de aprender esta lição, mas a longo prazo, pode ser o melhor. Se você é um usuário do OneLogin, deve se ocupar em juntar as peças. Caso contrário, considere-se com sorte e tome medidas para garantir que isso não aconteça com você.

Você foi afetado pelo hack do OneLogin? Isso faz você pensar duas vezes sobre gerenciadores de senhas ou aplicativos de logon único? Compartilhe seus pensamentos nos comentários abaixo!