OneLogin: Sicherheitslücke bei Passwort-Manager

03.06.2017 16:50 Uhr heise

Es gab einen Einbruch in den Single-Sign-on-Dienst OneLogin der speziell für Unternehmenskunden entwickelt wurde. Obwohl das Unternehmen öffentlich ruhig bleibt riet es betroffenen Kunden dringend dazu ihre Passwörter und Zertifikate zu ändern.

Single-Sign-On-Systeme sind eine feine Sache die zentral gesammelten Login-Daten ebenfalls noch ein reizvolles Angriffsziel.

Am 31. Mai gab OneLogin bekannt; dass es zu einem Einbruch gekommen sei. Einen Tag später reichte Alvaro Hoyos, Sicherheits-Chef des Unternehmens, Details nach. Demzufolge war jemand über die Amazon Web Services (AWS) in die Systeme des Unternehmens eingebrochen und hatte sich Zugriff auf diverse Datenbanken verschafft. Wie der Angreifer zu den AWS-Zugangsdaten kam, gab OneLogin nicht zu Protokoll.

Dem Blog-Eintrag zufolge sei nicht auszuschließen, dass sich der Angreifer dabei "auch die Fähigkeit verschafft habe" die dort gespeicherten Daten zu entschlüsseln. Der Hacker war sieben Stunden lang im System unterwegs, bevor Angestellte ungewöhnliche Datenbank-Aktivitäten bemerkten und den betroffenen Cloud-Server abschalteten.

Klartext für betroffene Kunden

In einer Mail an betroffene Kunden wurde OneLogin deutlicher: Wie Vice.com berichtet sei darin direkt zugegeben worden, dass der Angreifer sich die Möglichkeit verschafft habe, bei OneLogin verschlüsselte Daten auszulesen. Kunden sollen deswegen neue API-Schlüssel & OAuth-Tokens generieren, neue Sicherheits-Zertifikate und Anmeldedaten generieren und Mitarbeiter dazu auffordern, neue Kennwörter zu setzen ? das volle Programm also.

Es ist das zweite Sicherheitsdebakel für das Unternehmen: Im August 2016 war es einem Unbekannten gelungen, in einen Rechner des Unternehmens einzudringen. Dieser Server war zwar eigentlich nur für Log-Dateien & Analysedaten zuständig, hatte aber auch Zugriff auf bei OneLogin verschlüsselte Notizen. So konnte sich der Eindringling womöglich Einblick in Secure Notes aus dem vorangegangen Monat verschaffen.

OneLogin zählt über 2000 Unternehmen in 44 Ländern zu seinen Kunden, darunter neben diversen Bildungs- und Gesundheitseinrichtungen auch Online-Größen wie Pandora, Pinterest und Zendesk.

Zuletzt aktualisiert am 14.04.2023 01:17 Uhr

Kommentare

Ähnliche News

Amazon Web Services erweitert das .NET SDK um Unterstützung für Xamarin

Amazon Web Services hat sein .NET-Entwicklungskit erweitert und bietet nun eine Developer Preview mit Unterstützung für Xamarin an. Jeff Barr, Chef-Evangelist für Amazon Web Services, gab diese Ankündigung auf dem offiziellen AWS-Blog bekannt.

LastPass: Kein Zugriff auf Passwörter bei Hackerangriff im August 2022

LastPass CEO: Hacker hatte keinen Zugriff auf Passwörter

LastPass ist einer der bekanntesten Passwort-Manager für Online-Services und hat weltweit über 33 Millionen Nutzer. Im August 2022 wurde das Unternehmen jedoch Opfer eines Hackerangriffs.

Passwort-Manager: Googles Smart Lock speichert auch App-Passwörter

Mit dem Chrome-Browser und einem Google-Konto können gespeicherte Passwörter schon jetzt recht einfach mit mehreren Geräten synchronisiert werden.

Wie sicher ist dein Passwort? Eine Grafik zeigt es

Security - Wie schnell knackt ein Hacker euer Passwort? Diese Grafik verrät es euch

Die Wahl des Passworts ist immens wichtig um die Sicherheit deiner Accounts zu gewährleisten. Um sicherzustellen » dass es nicht so leicht zu knacken ist « sollte es ausreichend lang und komplex sein.

Nach dem Hack von 000webhost sind 13 Millionen Nutzerinformationen im Internet verfügbar

Nach 000webhost-Hack: 13 Millionen Nutzerdaten im Umlauf

Im Internet sind 13 Millionen Datensätze von Nutzern des Web-Hosters 000webhost aufgetaucht, anschließend das Unternehmen gehackt wurde. Diese Datensätze enthalten nicht nur E-Mail-Adressen, allerdings ebenfalls Passwörter die im Klartext gespeichert waren.