Password manager og single sign-on udbyder OneLogin er blevet hacket, selskabet har bekræftet.
I en kort blog-indlæg, som selskabets chief security officer Alvaro Hoyos sagde, at det havde “fundet sig uautoriseret adgang til OneLogin data i vores AMERIKANSKE data regionen”, og at det var nået ud til kunderne.
Hoyos sagde, at selskabet havde blokeret for uautoriseret adgang til efter strid og arbejder med håndhævelse af loven.
Blog-indlæg havde ingen yderligere oplysninger eller den tekniske detaljer om hændelsen, selvom den post er udeladt, at hackere havde stjålet følsomme kundedata, som kun flygtigt nævnt i en e-mail til kunder, set med ZDNet.
“OneLogin mener, at alle kunder, der betjenes af OS vores datacenter er berørt, og kundens data, der var potentielt kompromitteret,” e-mail-læse.
Hackere har “evnen til at dekryptere krypterede data,” siger en support-side, der udelukkende er tilgængelige for OneLogin kunder (kopi af indlæg blev udgivet online).
Selskabet har rådgivet kunder til at ændre deres adgangskoder, skal du generere en ny API-tasterne for deres ydelser, og skabe nye OAuth tokens — bruges til at logge ind regnskaber-samt til at skabe nye sikkerheds-certifikater. Selskabet sagde, at oplysninger, der er gemt på den Sikre Noter funktion, der bruges af IT-administratorer til at gemme følsomme netværk adgangskoder, kan dekrypteres.
Men spørgsmål er stadig over, hvordan hackere haft adgang til data, der kan dekrypteres i første omgang.
“Er jeg den eneste 1 at finde det foruroligende, OneLogin havde en dekryptering metode til kundens data tilgængelige nok til at blive grebet via brud?” sagde en bruger på Twitter.
Også virksomheden har ikke sagt hvor mange kunder, der blev ramt, men selskabets hjemmeside en liste over snesevis af store multinationale selskaber, herunder ARM, Dun & Bradstreet, The Carlyle Group, Conde Nast, og Dropbox.
OneLogin muligt for virksomhedens brugere at få adgang til flere web-programmer, websteder og tjenester med kun én adgangskode. Det er tænkt, at selskabet har millioner af brugere, der tjener mere end 2.000 virksomheder i snesevis af lande, i henhold til CrunchBase.
Single sign-on-udbyder integrerer hundredvis af forskellige tredjeparts-apps og-tjenester, så som Amazon Web Services, Microsoft ‘ s Office 365, LinkedIn, Slap, Twitter og Google-tjenester.
Det er den anden, sådan misligholdelse i så mange år. I August sidste år, virksomheden advaret brugerne om, at dets Sikker Noter service havde haft adgang til en “uautoriseret bruger,” men afviste, at enhver kunde data er blevet kompromitteret.
OneLogin ikke umiddelbart svare på spørgsmål.
Kontakt mig sikkert
Zack Whittaker kan nås sikkert på Signal og WhatsApp på 646-755-8849, og hans PGP fingeraftryk til e-mail er: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.