近日,OneLogin公司向外宣布,由于他们的服务器存在一个安全漏洞,黑客可以窥探到用户的个人数据(Secure notes)。
黑客已入侵服务器近两个月
OneLogin作为一家为用户提供SSO(单点登录)服务的公司,最近却遭遇了一系列严重且令人尴尬的安全漏洞。
OneLogin官方称,漏洞始于攻击者试图取得公司内部某个雇员的用来储存日志和解析信息的服务器权限。当漏洞被察觉时,黑客竟然在2016年7月2号,至8月25号期间获得了服务器权限。
通常情况下,黑客只会查看到一些无用的信息日志信息,然而由于日志记录系统中的BUG却使得Secure note上的数据以明文的形式暴露在外。
BUG致使OneLogin日志上的信息以明文存储
OneLogin所提供的Secure notes,是为个人用户提供的记事本工具,可以以加密形式,在服务器上存储文本信息。在OneLogin的官网上,他们甚至建议用户将自己的密码或者证书密钥等信息存储在Secure notes上。
“Secure note 使用的是AES-256加密,然而系统中BUG却导致存于Secure notes上 的文本可以被以明文的形式,在日志中被查看。”OneLogin的首席信息安全官Alvaro Hoyos说。
在服务器被攻陷期间,取得权限的黑客可以利用该BUG,查看和编辑Secure notes上的信息。
提升系统安全防护等级
OneLogin官方声称,除了Secure notes上的部分信息,用户在公司服务器上的其它个人信息都是安全的。与此同时,Hoyos称OneLogin通过集成SAML的身份验证,以及对应唯一的IP地址的白名单内部登录系统,来提升内部服务器安全防护等级。此外,公司还重置了所有不支持SAML身份验证系统的密码,以防止黑客进一步影响公司的其它服务器系统。
对于此次事件中受到影响的用户,OneLogin方面通过电子邮件的方式,告知用户他们存于Secure notes上的信息,可能已经遭到了泄漏,以此提醒用户做好相应的应对措施。
倘若真的有用户将账户密码存在Secure notes中,建议用户第一时间,重置自己的账号密码,开启二次验证以提高自己的账号安全。选择合适的密码管理软件,可以帮你生成强密码,并安全存储。目前国外比较知名的密码管理软件有1password、Lastpass、keepass等,而国内也有洋葱这样免费的密码管理软件。
*本文译者:xiaoqiang0304,参考链接:Softpedia,转载须注明来自FreeBuf.COM
