據外媒報導, 週三(5月31日)密碼和身份訪問管理公司 Onelogin 承認, 公司遭遇了資料洩露, 並且資料量不小。
資料洩露似乎不少見, 但這家公司資料洩露, 事情卻不簡單, 因為他們的業務非常特殊。
密碼和身份訪問管理服務是什麼?雷鋒網先簡單解釋一下:
我們工作生活中有各種各樣的帳號密碼, 記不住, 且容易輸錯。 這時密碼管理工具出現了, 它可以幫你把所有帳號密碼記在軟體裡, 有點像是把所有帳號密碼寫在一個小本子上。
但是密碼管理和小本子不完全一樣, 它還可以通過技術手段實現“單點登錄”、“自動填充帳號密碼”等功能,
於是有人指出問題了:把所有密碼放在一起, 不就等於把雞蛋放在一個籃子裡麼?
呃……理論上確實如此, 不過這些密碼管理服務通常會做很多安全工作,
出了什麼事?
市面上的身份管理軟體大致可分成兩類:本機存放區和雲端存儲。
本機存放區, 就是只提供密碼管理工具, 不提供密碼管理服務。 可以理解為只提供籃子給用戶裝雞蛋, 至於用戶把籃子放家裡, 還是放在大街上, 一概不管;
雲端存儲, 就是提供密碼管理工具同時提供密碼管理服務, 不僅提供籃子給用戶, 還會把所有的籃子都放在他們自家的安全倉庫(資料中心伺服器)裡統一看管。
Onelogin 就是後面這種, 他們會把使用者的所有帳號密碼和身份資訊都統一存儲在資料中心。 但是他們沒有看管好自家倉庫,
雷鋒網瞭解到, Onelogin 公司在其發佈的公告裡表示:
美國的資料存儲區域檢測到了未經授權的訪問資料。
簡而言之就是發現有人成功入侵過。
雖然公告中沒有說清楚到底有什麼資料被駭客竊取, 不過在他們發送給客戶的支援頁面中卻清清白白地寫明, 所有存儲在美國資料中心的客戶資料都已經失竊。
在他們發送給用戶的郵件中寫道:
使用者資料遭到了盜用, 包括解密加密資料的能力。
也就是說, 駭客不僅偷走了被加密的資料, 還可能盜走瞭解密用的金鑰, 所有的加密措施完全失效。
據雷鋒網瞭解, Onelogin 的主要業務是為企業提供帳號安全服務,
目前, Onelogin 公司已經聯繫相關安全公司和執法部門在緊急處理此事並探討和驗證事件的影響程度。 同時發出通告, 告知所有客戶重置所有密碼。
帳號管理的矛盾
其實帳號身份統一管理的安全爭議和質疑一直都在。
每個網站都有各自獨立的帳號密碼體系, 而且要求使用複雜密碼, 這對使用者簡直是種折磨;
多少人面對密碼框抓狂過?
可是帳號統一之後, 一旦該帳號被盜, 所有全軍覆沒;把所有密碼統一放在密碼管理器裡, 一旦被盜, 也是全軍覆沒。
而且, 即使不用密碼管理軟體, 同樣會出現問題。 2016年移動安全報告顯示, 有七成以上使用者在幾乎所有網路帳號都使用同一用戶名與密碼。 這又何嘗不是另一種形式的“雞蛋放在一個籃子裡”呢?而這也是“撞庫”事件頻發的主要原因。 如果無論如何雞蛋都在同一個籃子裡, 唯一的辦法就是把籃子做得更安全難以攻破。
雖然這次發生資料洩露的是一家美國公司,且並沒有在中國大量開展業務,但相信此次事件依然給國內做類似業務的公司敲了一個警鐘。
唯一的辦法就是把籃子做得更安全難以攻破。雖然這次發生資料洩露的是一家美國公司,且並沒有在中國大量開展業務,但相信此次事件依然給國內做類似業務的公司敲了一個警鐘。