Erneut schlechte Nachrichten für Nutzer eines Passwort-Managers. Der OneLogin-Passwort-Manager wurde gehackt – und die besonders schlechte Nachricht: Die Hacker können wohl die gespeicherten Passwörter entschlüsseln.
Anzeige
ZDNet.com berichtete vor Tagen hier über den Fall. Bereits am 31. Mai 2017 gab es diesen Blog-Post von OneLogin, in dem von einem unautorisierten Zugriff auf die US-Datenbasis. Ein Angreifer gelangte in den Besitz von Amazon Web Services AWS-Schlüsseln und verwendet diese, um auf die AWS API zuzugreifen. Dann wurden auf OneLogin-Datenbanken zugegriffen. Das wurde zwar vom Wartungspersonal 7 Stunden später bemerkt, weil der Zugriff Alarm ausgelöste. Es gelang zwar, die vom Angreifer erzeugten Instanzen zu beenden und die benutzten AWS-Schlüssel zu sperren.
Am 1. Juni 2017 musste die Firma dann die 'Hosen runter lassen'. In einem Update gab man im Blog-Post bekannt, dass der Angreifer war wohl in der Lage, war auf Datenbanktabellen zuzugreifen, die Nutzerdaten, Apps und verschiedene Typen von Schlüsseln enthielten. OneLogin hat diese Daten zwar verschlüsselt. Man gibt aber an, dass der Angreifer diese möglicherweise entschlüsseln kann.
Ich habe mal die Websuche bemüht und herausgefunden, dass OneLogin als Cloud-basierende Sicherheitslösung u.A. zur Cloud-Absicherung (Identity-and-Access-Management-Lösung, IAM) von der Telekom eingesetzt wird. Auch für den Edge-Browser gibt es eine OneLogin-Erweiterung. Bei heise.de berichtet man hier über den Fall und schreibt, dass es der zweite Fall für OneLogin war, wo auf Daten zugegriffen wurde. Für die betroffenen Kunden ist es ein mittleres Desaster, weil neue API-Schlüssel, OAuth-Tokens, neue Sicherheits-Zertifikate und Anmeldedaten zu generieren sind. Mitarbeiter sind zudem aufzufordern, neue Kennwörter zu setzen. Macht so richtig Spaß, und das vor Pfingsten.
Anzeige
"Cloud-basierende Sicherheitslösung" […] "Macht so richtig Spaß"
Nur kein Mitleid, lediglich schade, dass einer wie Dieter Hildebrand die Dummheit dieser Welt nicht mehr kommentieren kann.