OneLogin 承认近期泄漏事件非常严重

下一篇文章

大疆 Spark“晓”评测:好玩,但还不是我们想要的“傻瓜无人机”

周三,重要的访问管理服务提供商 OneLogin(你可以想象为企业级的密码管理员)发出警告,其美国用户的数据遭到“未经授权的访问”。这种事情一般不怎么严重……但事实证明,这一次真的很严重。该公司在周四发布的新文章中透露,黑客可能已经获得了非常底层的访问权限。

OneLogin 在披露这次攻击的 博客文章 中写道:“我们的审查表明,一个危险行动者获取了一组 AWS 密钥的访问权限……通过 AWS API,这个危险行动者在我们的基础设施中创建了数个实例以进行侦测。”

“这个危险行动者得以访问包含了关于用户、应用和各种类型密钥信息的数据库表单。尽管我们对某些敏感数据进行过加密处理,但我们无法排除该危险行动者同样获得了解密数据能力的可能性。”

一封 据称 是 OneLogin 发给用户的电子邮件还要更加简洁:

所有由我们美国数据中心提供服务的用户均受到了影响;用户数据遭到了盗用,包括解密加密数据的能力。

哇哦!这可真是糟糕。这表明,黑客获得的访问权限是某些服务本身尚未创建的。在国家安全信件(NSL)之外,这样的黑客攻击也是端到端加密无法防止的,我们也几乎没有建立相关的知识体系。

受影响的 OneLogin 用户可以访问 此页面 ,其中列出了保障数据安全的 11 步指南(如果那还可行的话),或者是浏览 The Register 的 这篇文章

图片来源:BRIAN A JACKSON/SHUTTERSTOCK

翻译:王灿均(@何无鱼

OneLogin admits recent breach is pretty dang serious

blog comments powered by Disqus