Compartir:
El OneLogin Hack fue serio y nos enseñó una lección
Somos grandes fanáticos de los administradores de contraseñas Cómo los administradores de contraseñas mantienen seguras sus contraseñas Cómo los administradores de contraseñas mantienen seguras sus contraseñas Las contraseñas que son difíciles de descifrar también son difíciles de recordar. ¿Quieres estar seguro? Necesita un administrador de contraseñas. Así es como funcionan y cómo te mantienen seguro. Lea más aquí en MakeUseOf. Hacen su vida más fácil, aceleran muchos procesos y mejoran su seguridad. Pero también concentran la información confidencial de su contraseña en un solo lugar, y eso puede ser peligroso..
Caso en cuestión: OneLogin, el productor de una aplicación de administración de inicio de sesión único y contraseña de nivel empresarial, fue pirateado el 31 de mayo de 2017. Y eso es realmente una mala noticia. Esto es lo que sucedió, lo que debe hacer y algunas lecciones que podemos aprender..
Lo que sucedió en OneLogin?
Esto es lo que dice OneLogin:
“... un actor de amenazas usó una de nuestras claves de AWS para obtener acceso a nuestra plataforma de AWS a través de API desde un host intermedio con otro proveedor de servicios más pequeño en los EE. UU. ”
Qué significa eso? Significa que alguien estaba mirando a través de los datos confidenciales de OneLogin. Y aunque gran parte de esos datos están cifrados, OneLogin cree que los atacantes pudieron descifrar al menos algunos de los datos..
Tan pronto como los técnicos de OneLogin detectaron la intrusión, cerraron los sistemas que estaban infiltrados. Desafortunadamente, se ha informado que no detectaron la intrusión hasta siete horas después de su inicio. Eso es mucho tiempo para revisar datos confidenciales..
A qué tipo de datos pudieron acceder los atacantes?
“El actor de amenazas pudo acceder a las tablas de la base de datos que contienen información sobre usuarios, aplicaciones y varios tipos de claves..”
Si bien no está claro exactamente cuál es el alcance de esa lista, definitivamente hay muchas cosas sensibles.
Para su crédito, OneLogin ha sido muy franco sobre este incidente. Mantuvieron una publicación de blog actualizada en su sitio, se comunicaron con los clientes sobre el ataque y brindaron consejos sobre qué hacer. Hasta ahora no hay indicios de que la compañía haya ofuscado lo que sucedió. (Aunque pueden haber minimizado un poco la gravedad del ataque).
Qué debe hacer si usa OneLogin
OneLogin lanzó rápidamente una guía para ayudar a los usuarios a mitigar los efectos del ataque (El registro También publicó esta lista para los no clientes). La lista incluye restablecimientos de contraseñas, nuevos tokens de autenticación, eliminación de notas seguras y otras sugerencias técnicas de nivel de administrador..
Sin embargo, si usted es un usuario de OneLogin, el curso de acción obvio es mucho más sencillo: cambie sus contraseñas y actualice sus tokens de autenticación. Tomará un tiempo, pero vale la pena hacerlo, porque hay muchas posibilidades de que alguien tenga acceso a todo lo que guardó en su cuenta. Cambie su contraseña maestra, cambie las contraseñas de sus aplicaciones, cambie todo lo que almacenó en OneLogin.
Y basura tus notas seguras.
Sí, va a chupar. Pero va a chupar mucho menos que el hecho de que un atacante se haga cargo de uno de sus servicios importantes (o, lo que es peor, se retenga).
Lo que podemos aprender del OneLogin Hack
La primera lección, y la más preocupante, es clara: el inicio de sesión único (SSO) y las compañías de administración de contraseñas no son inmunes a las amenazas de seguridad. Estas empresas saben que la seguridad es un gran problema para sus clientes y que tienen una gran cantidad de información valiosa.
Pero las cosas malas pasan. En este caso, las claves API que dieron acceso a los atacantes a OneLogin se originaron “de un host intermedio con otro proveedor de servicios más pequeño en los EE. UU..” A pesar de la dedicación de OneLogin a la seguridad, las deficiencias de otra compañía pueden haber permitido a los atacantes.
Desafortunadamente, ninguna compañía es a prueba de hackeo. Las compañías de administración de contraseñas y SSO se toman la seguridad muy en serio y generalmente hacen un buen trabajo. Pero esto iba a suceder.
En el futuro, ¿qué puedes hacer? Aquí hay algunas cosas que debe tener en cuenta al utilizar este tipo de servicios..
Almacenar todo en un solo lugar es una mala idea
Obviamente, mantendrás tus contraseñas en tu aplicación de administración de contraseñas. Pero ¿debería ser el repositorio de todos de su información sensible? Tal vez no.
Es fácil usar las notas seguras de LastPass, por ejemplo, para mantener la información de su cuenta bancaria o la contraseña de su Wi-Fi doméstica. Pero si ese servicio es hackeado, ahora estás viendo aún más problemas. Es posible que ya tenga almacenada la información de su tarjeta de crédito. Sin embargo, si agrega algunos datos clave más. 10 Información que se usa para robar su identidad. 10 Información que se usa para robar su identidad. Según la Oficina de Justicia de los EE. UU., El robo de identidad costó a las víctimas más de $ 24 mil millones en 2012. , más que robo de casa, motor y robo de propiedad combinados. Estas 10 piezas de información son lo que los ladrones buscan ... Leer más, el robo de identidad se vuelve mucho más fácil.
Considere usar otro servicio cifrado que no almacene información en la nube, como SplashID, o simplemente cifre y proteja con contraseña una carpeta en su computadora Cómo proteger con contraseña una carpeta en Windows Cómo proteger con contraseña una carpeta en Windows Necesidad de mantener una Windows carpeta privada? Aquí hay algunos métodos que puede usar para proteger con contraseña sus archivos en una PC con Windows 10. Lee mas . Es un poco menos conveniente, pero podría reducir significativamente la dificultad en el caso de una infracción..
Piense dos veces en el inicio de sesión único
SSO es excelente porque ahorra una tonelada de tiempo y mantiene tus contraseñas al mínimo. OpenID, iniciando sesión con credenciales de redes sociales ¿Usando Social Login? Tome estos pasos para proteger sus cuentas usando Social Login? Siga estos pasos para proteger sus cuentas Si está utilizando un servicio de inicio de sesión social (como Google o Facebook), podría pensar que todo está seguro. No es así, es hora de echar un vistazo a las debilidades de los inicios de sesión sociales. Leer más, y otros métodos similares son muy populares. (Para ser completamente honesto, yo uso estos mismos.)
La opción más segura es simplemente abrir una cuenta con su dirección de correo electrónico para cada sitio. Si está utilizando un administrador de contraseñas, esto es fácil. No es tan fácil como OAuth o un inicio de sesión con un solo clic similar, pero es definitivamente más seguro Cómo millones de aplicaciones son vulnerables a un solo hack de seguridad Cómo millones de aplicaciones son vulnerables a una sola seguridad Hack OAuth es un estándar abierto utilizado para le permite iniciar sesión en una aplicación o sitio web de terceros usando una cuenta de Facebook, Twitter o Google, y es vulnerable a los piratas informáticos. Lee mas .
Para ser justos, algunas personas alientan el uso del inicio de sesión único como una práctica de seguridad. Sopesar sus opciones.
Utilice la autenticación de dos factores en servicios importantes
Hemos hablado innumerables veces sobre la autenticación de dos factores, pero si no está familiarizado con la misma, lea todo sobre ella. ¿Qué es la autenticación de dos factores y por qué debería usarla? ¿Qué es la autenticación de dos factores y por qué debería hacerlo? Úselo La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de probar su identidad. Se utiliza comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta,… Lea más y descubra qué servicios pueden usar. Bloquee estos servicios ahora con autenticación de dos factores Bloquee estos servicios ahora con autenticación de dos factores La autenticación de dos factores es lo más inteligente Manera de proteger sus cuentas en línea. Echemos un vistazo a algunos de los servicios que puede bloquear con mayor seguridad. Lee mas . Entonces enciéndelo.
¿Para qué servicios debería usar la autenticación de dos factores? En resumen, tantos como puedas. Sus servicios más importantes, como el correo electrónico, la banca y el almacenamiento en la nube, definitivamente deben estar protegidos por este. Cualquier otra cosa es una ventaja. Hazlo ahora.
Estar atento
Los usuarios de OneLogin aprendieron una lección difícil: ningún servicio es 100% seguro. Esta fue una manera particularmente dura de aprender esta lección, pero a largo plazo, puede ser lo mejor. Si eres usuario de OneLogin, deberías ocuparte en recoger las piezas. Si no lo eres, considérate afortunado y toma medidas para asegurarte de que no te suceda..
¿Te afectó el hack de OneLogin? ¿Te hace pensar dos veces sobre los administradores de contraseñas o las aplicaciones de inicio de sesión único? Comparte tus pensamientos en los comentarios a continuación!
Explorar más sobre: Administrador de contraseñas.