Η OneLogin ανακοίνωσε μια παραβίαση ασφάλειας διακομιστή που επέτρεψε σε έναν εισβολέα να αποκτήσει πρόσβαση στο Secure Notes των πελατών χάρη σε ένα bug στις διαδικασίες καταγραφής της εταιρείας.
Η startup με έδρα το Σαν Φρανσίσκο, η οποία παρέχει μια σχετικά δημοφιλή SSO (Single-Sign-On) υπηρεσία, ανέφερε λεπτομερώς μια σειρά από ατυχή γεγονότα που οδήγησαν σε μια σοβαρή και ενοχλητική παραβίαση ασφάλειας.
Η OneLogin λέει ότι η παραβίαση δεδομένων ξεκίνησε όταν ένας εισβολέας κατάφερε να αποκτήσει πρόσβαση σε κάποιο από τα διαπιστευτήρια των υπαλλήλων της για έναν server που χρησιμοποιούνταν για να αποθηκεύει τα αρχεία καταγραφής (logs) και αναλυτικές πληροφορίες.
Ο εισβολέας είχε πρόσβαση στο εν λόγω σύστημα μεταξύ 2 Ιουλίου 2016 και 25 Αυγούστου 2016, όταν η εταιρεία ανακάλυψε την εισβολή.
Ενώ υπό κανονικές συνθήκες ο εισβολέας θα είχε έρθει αντιμέτωπος με μερικές βαρετές και άχρηστες γραμμές καταγραφής, η OneLogin λέει ότι ένα σφάλμα στο σύστημα καταγραφής εξέθεσε τα στοιχεία από το Secure Notes σε μορφή απλού κειμένου.
Η OneLogin προσφέρει το Secure Notes στους πελάτες της ως βοηθητικό σημειωματάριο που αποθηκεύει πληροφορίες κειμένου στους διακομιστές της εταιρείας σε κρυπτογραφημένη μορφή. Στην ιστοσελίδα της, η εταιρεία συστήνει ακόμη στους πελάτες της να χρησιμοποιούν το Secure Notes για την αποθήκευση κωδικών πρόσβασης και κλειδιών άδειας χρήσης (license keys).
Σύμφωνα με τον Alvaro Hoyos, Διευθύνων Υπεύθυνος Ασφαλείας Πληροφοριών της OneLogin, το σύστημα του Secure Notes που κρυπτογραφεί τα δεδομένα χρησιμοποιώντας πολλαπλά επίπεδα AES-256 κρυπτογράφησης είχε ένα σφάλμα που έκανε τις σημειώσεις να είναι ορατές στα αρχεία καταγραφής σε μορφή απλού κειμένου.
Ο εισβολέας είχε πρόσβαση σε όλα τα Secure Notes που είχαν δημιουργηθεί και επεξεργαστεί μεταξύ 25 Ιουλίου και 25 Αυγούστου, περίοδο κατά την οποία το bug ήταν παρόν στο σύστημα και ο εισβολέας έχει πρόσβαση στον διακομιστή.
Η OneLogin λέει ότι, εκτός από το περιεχόμενο ορισμένων Secure Notes, οι προσωπικές πληροφορίες των πελατών δεν τέθηκαν ποτέ σε κίνδυνο, ομοίως και με τα υπόλοιπα OneLogin συστήματα.
Εν τω μεταξύ, ο Hoyos, λέει ότι η OneLogin ενίσχυσε την ασφάλεια του server με έλεγχο ταυτότητας που βασίζεται σε SAML και επέτρεψε την είσοδο (whitelisted) σε εσωτερικά συστήματα μόνο σε ένα περιορισμένο σύνολο εσωτερικών IP διευθύνσεων.
Επιπλέον, η OneLogin λέει ότι επανέφερε όλους τους κωδικούς πρόσβασης για όλα τα συστήματα που δεν υποστηρίζουν τον SAML έλεγχο ταυτότητας, ως προληπτικό μέτρο, σε περίπτωση που ο επιτιθέμενος καταφέρει να κλιμακώσει την πρόσβασή του και σε άλλα κομμάτια της υποδομής τους.
Η εταιρεία ενημέρωσε τους χρήστες για το περιστατικό και τους γνωστοποίησε ότι κάποια από τα Secure Notes τους μπορεί να έχουν εκτεθεί, έτσι ώστε να λάβουν αντίστοιχα προληπτικά μέτρα. Ένα αντίγραφο αυτού του email μπορείτε να διαβάσετε παρακάτω:
