據外媒報道,周三(5月31日)密碼和身份通路管理公司 onelogin 承認,公司遭遇了資料洩露,并且資料量不小。
資料洩露似乎不少見,但這家公司資料洩露,事情卻不簡單,因為他們的業務非常特殊。
密碼和身份通路管理服務是什麼?雷鋒網先簡單解釋一下:
我們工作生活中有各種各樣的賬号密碼,記不住,且容易輸錯。這時密碼管理工具出現了,它可以幫你把所有賬号密碼記在軟體裡,有點像是把所有賬号密碼寫在一個小本子上。
但是密碼管理和小本子不完全一樣,它還可以通過技術手段實作“單點登入”、“自動填充賬号密碼”等功能,讓人們在上任何網站時都隻需要同一個密碼,甚至隻需輕輕一點就能登入所有網站,友善至極。
于是有人指出問題了:把所有密碼放在一起,不就等于把雞蛋放在一個籃子裡麼?
呃……理論上确實如此,不過這些密碼管理服務通常會做很多安全工作,比如把資料加密。但是也隻能将風險降至很低,無法徹底杜絕資料洩露。這不,onelogin 就出事了。
市面上的身份管理軟體大緻可分成兩類:本地存儲和雲端存儲。
本地存儲,就是隻提供密碼管理工具,不提供密碼管理服務。可以了解為隻提供籃子給使用者裝雞蛋,至于使用者把籃子放家裡,還是放在大街上,一概不管; 雲端存儲,就是提供密碼管理工具同時提供密碼管理服務,不僅提供籃子給使用者,還會把所有的籃子都放在他們自家的安全倉庫(資料中心伺服器)裡統一看管。
onelogin 就是後面這種,他們會把使用者的所有賬号密碼和身份資訊都統一存儲在資料中心。但是他們沒有看管好自家倉庫,結果有黑客溜進了他們存儲美國區域資料的“倉庫”,偷走了裡面所有裝滿雞蛋的籃子。
雷鋒網(公衆号:雷鋒網)了解到,onelogin 公司在其釋出的公告裡表示:
美國的資料存儲區域檢測到了未經授權的通路資料。
簡而言之就是發現有人成功入侵過。
雖然公告中沒有說清楚到底有什麼資料被黑客竊取,不過在他們發送給客戶的支援頁面中卻清清白白地寫明,所有存儲在美國資料中心的客戶資料都已經失竊。
在他們發送給使用者的郵件中寫道:
使用者資料遭到了盜用,包括解密加密資料的能力。
也就是說,黑客不僅偷走了被加密的資料,還可能盜走了解密用的密鑰,所有的加密措施完全失效。
據雷鋒網了解,onelogin 的主要業務是為企業提供賬号安全服務,資料庫一旦失竊,意味着他們的企業使用者的所有賬号密碼都面臨威脅。相信在看到資料洩露公告時,他們的企業客戶都忍不住跳起來說髒話。
目前,onelogin 公司已經聯系相關安全公司和執法部門在緊急處理此事并探讨和驗證事件的影響程度。同時發出通告,告知所有客戶重置所有密碼。
其實賬号身份統一管理的安全争議和質疑一直都在。
每個網站都有各自獨立的賬号密碼體系,而且要求使用複雜密碼,這對使用者簡直是種折磨;
▲ 多少人面對密碼框抓狂過?
可是賬号統一之後,一旦該賬号被盜,所有全軍覆沒;把所有密碼統一放在密碼管理器裡,一旦被盜,也是全軍覆沒。
而且,即使不用密碼管理軟體,同樣會出現問題。2016年移動安全報告顯示,有七成以上使用者在幾乎所有網絡賬号都使用同一使用者名與密碼。這又何嘗不是另一種形式的“雞蛋放在一個籃子裡”呢?而這也是“撞庫”事件頻發的主要原因。如果無論如何雞蛋都在同一個籃子裡,唯一的辦法就是把籃子做得更安全難以攻破。
雖然這次發生資料洩露的是一家美國公司,且并沒有在中國大量開展業務,但相信此次事件依然給國内做類似業務的公司敲了一個警鐘。