密碼管理服務OneLogin遭駭,用戶金鑰外洩
文/陳曉莉 | 2017-06-02發表 (iThome)
初步瞭解,駭客先是取得AWS金鑰,再設法存取相關的AWS API, 再利用API於OneLogin的基礎架構進行觀察,再伺機發動攻擊,竊取了包含用戶、程式等各式金鑰的加密資料。
專門提供單一簽入與身分管理服務的OneLogin本周坦承駭客入侵了該公司位於美國的資料庫,造成客戶的各種金鑰外洩,現已與第三方安全業者及執法機構合作展開調查。
OneLogin證實駭客已存取了內含用戶、程式與各種形式之金鑰的資料庫表格,即使OneLogin加密了特定機密資料,但仍無法排除駭客具備解密這些資料的能力。
根據初步調查,駭客是先取得了AWS的金鑰,然後利用這些金鑰自另一美國的小型中介代管業者存取相關的AWS API,駭客利用此一AWS API於OneLogin的基礎架構中建立了數個實例以進行勘察,並於本周三(5/31)發動攻擊。OneLogin在駭客展開行動的7個小時後發現異樣,立即關閉了這些實例並撤銷駭客所使用的AWS金鑰。
另一密碼管理服務LastPass也曾於2015年遭到駭客入侵,這些服務儲存了使用者的所有密碼,很容易成為駭客覬覦的對象,然而,這些用來協助使用者保障身分安全的服務卻反遭駭客入侵仍然有些諷刺,理應採取更嚴謹的安全防護機制才是。