Peretas OneLogin Serius dan Mengajar Kami Pelajaran

Iklan

Kami penggemar berat pengelola kata sandi Bagaimana Pengelola Kata Sandi Menjaga Kata Sandi Anda AmanKata sandi yang sulit diretas juga sulit diingat. Ingin aman? Anda memerlukan pengelola kata sandi. Inilah cara mereka bekerja dan bagaimana mereka membuat Anda tetap aman. Baca lebih banyak di sini di MakeUseOf. Mereka membuat hidup Anda lebih mudah, mempercepat banyak proses, dan meningkatkan keamanan Anda. Tetapi mereka juga memusatkan informasi kata sandi sensitif Anda di satu tempat - dan itu bisa berbahaya.

Contoh kasus: OneLogin, produsen aplikasi akses masuk dan kata sandi tunggal tingkat perusahaan, diretas pada 31 Mei 2017. Dan itu berita yang sangat buruk. Inilah yang terjadi, apa yang harus Anda lakukan, dan beberapa pelajaran yang bisa kita pelajari.

Apa yang Terjadi di OneLogin?

Inilah yang dikatakan OneLogin:

"... aktor ancaman menggunakan salah satu kunci AWS kami untuk mendapatkan akses ke platform AWS kami melalui API dari host perantara dengan penyedia layanan lain yang lebih kecil di AS ..."

Apa artinya? Ini berarti bahwa seseorang sedang mencari melalui data sensitif OneLogin. Dan sementara banyak dari data itu dienkripsi, OneLogin percaya bahwa para penyerang mampu mendekripsi setidaknya beberapa data.

Segera setelah teknisi OneLogin mendeteksi intrusi, mereka mematikan sistem yang disusupi. Sayangnya, dilaporkan bahwa mereka tidak mendeteksi gangguan sampai tujuh jam setelah dimulai. Itu waktu yang lama untuk melihat-lihat data sensitif.

Jenis data apa yang mungkin dimiliki oleh para penyerang?

"Aktor ancaman dapat mengakses tabel basis data yang berisi informasi tentang pengguna, aplikasi, dan berbagai jenis kunci."

Meskipun tidak jelas apa cakupan daftar itu, pasti banyak hal yang sensitif.

Untuk kredit mereka, OneLogin sangat berterus terang tentang kejadian ini. Mereka menyimpan posting blog yang diperbarui di situs mereka, berkomunikasi dengan pelanggan tentang serangan itu, dan memberikan saran tentang apa yang harus dilakukan. Tidak ada indikasi sejauh ini bahwa perusahaan telah mengaburkan apa yang terjadi. (Meskipun mereka mungkin meremehkan keseriusan serangan itu.)

Yang Harus Anda Lakukan Jika Anda Menggunakan OneLogin

OneLogin dengan cepat merilis panduan untuk membantu pengguna mengurangi dampak serangan (Pendaftaran juga diposting daftar ini untuk non-pelanggan). Daftar ini termasuk pengaturan ulang kata sandi, token otentikasi baru, menyingkirkan catatan aman, dan sejumlah saran tingkat teknis lainnya.

Jika Anda adalah pengguna OneLogin, tindakan yang jelas jauh lebih sederhana: ubah kata sandi Anda dan perbarui token otentikasi Anda. Ini akan memakan waktu cukup lama, tetapi ini layak dilakukan, karena ada peluang yang sangat baik bahwa seseorang memiliki akses ke semua yang Anda simpan di akun Anda. Ubah kata sandi utama Anda, ubah kata sandi ke aplikasi Anda, ubah semua yang Anda simpan di OneLogin.

Dan buang catatan aman Anda.

Ya, itu akan payah. Tapi itu akan menyedot lebih sedikit daripada memiliki salah satu layanan penting Anda diambil alih oleh penyerang (atau, mungkin lebih buruk, ditahan untuk tebusan).

Yang Dapat Kita Pelajari Dari Peretasan OneLogin

Pelajaran pertama, dan yang paling mengkhawatirkan, jelas: perusahaan sistem masuk tunggal (SSO) dan manajemen kata sandi tidak kebal terhadap ancaman keamanan. Perusahaan-perusahaan ini tahu bahwa keamanan adalah masalah besar bagi pelanggan mereka, dan bahwa mereka menyimpan banyak informasi berharga.

Tetapi hal-hal buruk terjadi. Dalam hal ini, kunci API yang memberi penyerang akses ke OneLogin berasal “dari host perantara dengan yang lain, lebih kecil penyedia layanan di A.S. ” Terlepas dari dedikasi OneLogin terhadap keamanan, kekurangan perusahaan lain mungkin membiarkan penyerang di.

Sayangnya, tidak ada perusahaan yang tahan hack. Manajemen kata sandi dan perusahaan SSO sangat memperhatikan keamanan, dan umumnya melakukan pekerjaan dengan baik. Tetapi ini pasti akan terjadi.

Ke depan, apa yang bisa Anda lakukan? Berikut adalah beberapa hal yang perlu diingat ketika menggunakan jenis layanan ini.

Menyimpan Segala Sesuatu di Satu Tempat Adalah Gagasan Buruk

Jelas Anda akan menyimpan kata sandi di aplikasi manajemen kata sandi Anda. Tetapi haruskah itu repositori untuk semua informasi sensitif Anda? Mungkin tidak.

Sangat mudah untuk menggunakan catatan aman LastPass, misalnya, untuk menyimpan informasi rekening bank Anda atau kata sandi Wi-Fi rumah Anda. Tetapi jika layanan itu diretas, Anda sekarang melihat lebih banyak masalah. Anda mungkin sudah menyimpan informasi kartu kredit Anda. Namun jika Anda menambahkan beberapa informasi kunci lagi 10 Potongan Informasi Yang Digunakan Untuk Mencuri Identitas AndaPencurian identitas bisa mahal. Berikut adalah 10 informasi yang Anda perlu lindungi agar identitas Anda tidak dicuri. Baca lebih banyak , pencurian identitas menjadi lebih mudah.

Pertimbangkan untuk menggunakan layanan terenkripsi lain yang tidak menyimpan informasi di cloud SplashID, atau hanya mengenkripsi dan kata sandi melindungi folder di komputer Anda Cara Melindungi Folder Kata Sandi di WindowsPerlu menyimpan folder Windows pribadi? Berikut adalah beberapa metode yang dapat Anda gunakan untuk melindungi kata sandi file Anda pada PC Windows 10. Baca lebih banyak . Ini sedikit kurang nyaman, tetapi secara signifikan dapat mengurangi jumlah kesulitan dalam kasus pelanggaran.

Pikirkan Dua Kali Tentang Sistem Masuk Tunggal

SSO sangat bagus karena menghemat banyak waktu dan menjaga kata sandi Anda seminimal mungkin. OpenID, masuk dengan kredensial jejaring sosial Menggunakan Login Sosial? Ambil Langkah-Langkah Ini untuk Mengamankan Akun AndaJika Anda menggunakan layanan login sosial (seperti Google atau Facebook) maka Anda mungkin berpikir semuanya aman. Tidak demikian - saatnya untuk melihat kelemahan login sosial. Baca lebih banyak , dan metode serupa lainnya cukup populer. (Sejujurnya, saya menggunakan ini sendiri.)

Opsi yang lebih aman adalah dengan hanya membuka akun dengan alamat email Anda untuk setiap situs. Jika Anda menggunakan pengelola kata sandi, ini mudah. Tidak semudah OAuth atau sistem masuk sekali klik yang serupa, tapi itu pasti lebih aman Bagaimana Jutaan Aplikasi Rentan terhadap Peretas Keamanan TunggalOAuth adalah standar terbuka yang digunakan untuk memungkinkan Anda masuk ke aplikasi atau situs web pihak ketiga dengan menggunakan akun Facebook, Twitter, atau Google - dan rentan terhadap peretas. Baca lebih banyak .

Agar adil, beberapa orang mendorong penggunaan sistem masuk tunggal sebagai praktik keamanan. Timbang pilihan Anda.

Gunakan Otentikasi Dua Faktor pada Layanan Penting

Kami telah berbicara tentang autentikasi dua faktor berkali-kali, tetapi jika Anda tidak terbiasa dengannya, Bacalah semua tentang itu Apa Otentikasi Dua Faktor, Dan Mengapa Anda Harus MenggunakannyaOtentikasi dua faktor (2FA) adalah metode keamanan yang membutuhkan dua cara berbeda untuk membuktikan identitas Anda. Ini biasa digunakan dalam kehidupan sehari-hari. Misalnya membayar dengan kartu kredit tidak hanya membutuhkan kartu, ... Baca lebih banyak dan belajar layanan mana yang dapat menggunakannya Mengunci Layanan Ini Sekarang Dengan Otentikasi Dua FaktorOtentikasi dua faktor adalah cara cerdas untuk melindungi akun online Anda. Mari kita lihat beberapa layanan yang dapat Anda kunci dengan keamanan yang lebih baik. Baca lebih banyak . Kemudian nyalakan.

Untuk layanan apa Anda harus menggunakan otentikasi dua faktor? Singkatnya, sebanyak yang Anda bisa. Layanan Anda yang paling penting, seperti email, perbankan, dan penyimpanan cloud, pasti harus dilindungi olehnya. Yang lainnya adalah bonus. Lakukan sekarang.

Tetap Tajam

Pengguna OneLogin mendapat pelajaran sulit: tidak ada layanan yang 100% aman. Ini adalah cara yang sangat keras untuk mempelajari pelajaran ini, tetapi dalam jangka panjang, ini mungkin yang terbaik. Jika Anda adalah pengguna OneLogin, Anda harus sibuk mengambil bagian-bagian itu. Jika Anda tidak, anggap diri Anda beruntung, dan ambil langkah-langkah untuk memastikan itu tidak terjadi pada Anda.

Apakah Anda terpengaruh oleh retasan OneLogin? Apakah itu membuat Anda berpikir dua kali tentang pengelola kata sandi atau aplikasi masuk tunggal? Bagikan pemikiran Anda dalam komentar di bawah!