Pagina principal Seguridad El OneLogin Hack fue serio y nos enseñó una lección

El OneLogin Hack fue serio y nos enseñó una lección

  • Joseph Goodman
  • 0
  • 1181
  • 39
Anuncio

Somos grandes admiradores de los administradores de contraseñas Cómo los administradores de contraseñas mantienen sus contraseñas seguras Cómo los administradores de contraseñas mantienen sus contraseñas seguras Las contraseñas que son difíciles de descifrar también son difíciles de recordar. ¿Quieres estar a salvo? Necesitas un administrador de contraseñas. Así es como funcionan y cómo lo mantienen a salvo. aquí en MakeUseOf. Facilitan su vida, aceleran muchos procesos y mejoran su seguridad. Pero también concentran su información confidencial de contraseña en un solo lugar, y eso puede ser peligroso.

Caso en cuestión: OneLogin, el productor de una aplicación de gestión de contraseñas e inicio de sesión único a nivel empresarial, fue pirateado el 31 de mayo de 2017. Y esas son realmente malas noticias. Esto es lo que sucedió, lo que debe hacer y algunas lecciones que podemos aprender..

Lo que sucedió en OneLogin?

Esto es lo que dice OneLogin:

“... un actor de amenazas usó una de nuestras claves de AWS para obtener acceso a nuestra plataforma de AWS a través de API desde un host intermedio con otro proveedor de servicios más pequeño en los EE. UU. ... ”

Qué significa eso? Significa que alguien estaba mirando los datos confidenciales de OneLogin. Y aunque gran parte de esa información está encriptada, OneLogin cree que los atacantes pudieron desencriptar al menos parte de la información..

Tan pronto como los técnicos de OneLogin detectaron la intrusión, cerraron los sistemas infiltrados. Desafortunadamente, se informó que no detectaron la intrusión hasta siete horas después de que comenzó. Eso es mucho tiempo para hurgar en datos confidenciales.

¿A qué tipo de datos podrían tener acceso los atacantes??

“El actor de la amenaza pudo acceder a las tablas de la base de datos que contienen información sobre usuarios, aplicaciones y varios tipos de claves..”

Si bien no está claro exactamente cuál es el alcance de esa lista, definitivamente son muchas cosas sensibles.

Para su crédito, OneLogin ha sido muy directo sobre este incidente. Mantuvieron una publicación de blog actualizada en su sitio, se comunicaron con los clientes sobre el ataque y brindaron asesoramiento sobre qué hacer. Hasta el momento no hay indicios de que la compañía haya ofuscado lo sucedido. (Aunque pueden haber minimizado un poco la seriedad del ataque).

Qué debe hacer si usa OneLogin

OneLogin lanzó rápidamente una guía para ayudar a los usuarios a mitigar cualquier efecto del ataque (El registro también publicó esta lista para no clientes). La lista incluye restablecimientos de contraseña, nuevos tokens de autenticación, eliminación de notas seguras y una serie de otras sugerencias técnicas a nivel de administrador.

Sin embargo, si usted es usuario de OneLogin, el curso de acción obvio es mucho más simple: cambie sus contraseñas y actualice sus tokens de autenticación. Tomará un tiempo, pero vale la pena hacerlo, porque hay una muy buena posibilidad de que alguien tenga acceso a todo lo que almacenó en su cuenta. Cambia tu contraseña maestra, cambia las contraseñas de tus aplicaciones, cambia todo lo que almacenaste en OneLogin.

Y tira tus notas seguras.

Sí, va a apestar. Pero va a succionar mucho menos que uno de sus servicios importantes sea asumido por un atacante (o, posiblemente peor, retenido por rescate).

Lo que podemos aprender del truco de OneLogin

La primera y más preocupante lección es clara: las empresas de inicio de sesión único (SSO) y de administración de contraseñas no son inmunes a las amenazas de seguridad. Estas compañías saben que la seguridad es un gran problema para sus clientes y que tienen una gran cantidad de información valiosa.

Pero suceden cosas malas. En este caso, las claves API que dieron acceso a los atacantes a OneLogin se originaron “desde un host intermedio con otro proveedor de servicios más pequeño en los EE. UU..” A pesar de la dedicación de OneLogin a la seguridad, las deficiencias de otra compañía pueden haber dejado entrar a los atacantes.

Desafortunadamente, ninguna compañía es a prueba de piratería. La gestión de contraseñas y las empresas de SSO se toman muy en serio la seguridad y, en general, hacen un buen trabajo. Pero esto iba a suceder.

En el futuro, ¿qué puedes hacer? Aquí hay algunas cosas a tener en cuenta al usar este tipo de servicios.

Almacenar todo en un solo lugar es una mala idea

Obviamente, mantendrá sus contraseñas en su aplicación de administración de contraseñas. ¿Pero debería ser el repositorio de todos de su información sensible? Tal vez no.

Es fácil usar las notas seguras de LastPass, por ejemplo, para mantener la información de su cuenta bancaria o la contraseña de Wi-Fi de su hogar. Pero si ese servicio es pirateado, ahora estás viendo aún más problemas. Es posible que ya tenga la información de su tarjeta de crédito almacenada. Sin embargo, si agrega más información clave 10 piezas de información que se utilizan para robar su identidad 10 piezas de información que se usan para robar su identidad Según la Oficina de Justicia de los Estados Unidos, el robo de identidad costó a las víctimas más de $ 24 mil millones en 2012 , más que el robo doméstico, el motor y el robo de propiedad combinados. Estos 10 datos son lo que buscan los ladrones ..., el robo de identidad se vuelve mucho más fácil.

Considere usar otro servicio encriptado que no almacene información en la nube, como SplashID, o simplemente encripte y proteja con contraseña una carpeta en su computadora Cómo proteger con contraseña una carpeta en Windows Cómo proteger con contraseña una carpeta en Windows Necesita mantener un Windows carpeta privada? Aquí hay algunos métodos que puede usar para proteger con contraseña sus archivos en una PC con Windows 10. . Es un poco menos conveniente, pero podría reducir significativamente la cantidad de dificultad en caso de incumplimiento.

Piense dos veces sobre el inicio de sesión único

SSO es excelente porque ahorra un montón de tiempo y mantiene sus contraseñas al mínimo. OpenID, iniciar sesión con credenciales de redes sociales ¿Usando Social Login? ¿Siga estos pasos para asegurar sus cuentas usando el inicio de sesión social? Siga estos pasos para proteger sus cuentas Si está utilizando un servicio de inicio de sesión social (como Google o Facebook), entonces podría pensar que todo es seguro. No es así, es hora de echar un vistazo a las debilidades de los inicios de sesión sociales. , y otros métodos similares son bastante populares. (Para ser completamente honesto, los uso yo mismo).

La opción más segura es simplemente abrir una cuenta con su dirección de correo electrónico para cada sitio. Si está utilizando un administrador de contraseñas, esto es fácil. No es tan fácil como OAuth o un inicio de sesión similar con un solo clic, pero definitivamente es más seguro Cómo millones de aplicaciones son vulnerables a un solo hack de seguridad Cómo millones de aplicaciones son vulnerables a un solo hack de seguridad OAuth es un estándar abierto utilizado para le permite iniciar sesión en una aplicación o sitio web de terceros utilizando una cuenta de Facebook, Twitter o Google, y es vulnerable a los piratas informáticos. .

Para ser justos, algunas personas fomentan el uso del inicio de sesión único como práctica de seguridad. Sopesa tus opciones.

Utilice la autenticación de dos factores en servicios importantes

Hemos hablado de la autenticación de dos factores innumerables veces, pero si no está familiarizado con ella, lea todo sobre ella. ¿Qué es la autenticación de dos factores y por qué debe usarla? ¿Qué es la autenticación de dos factores y por qué debería? Úselo La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de demostrar su identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta ... y aprender qué servicios pueden usarla Bloquee estos servicios ahora con autenticación de dos factores Bloquee estos servicios ahora con autenticación de dos factores La autenticación de dos factores es la forma inteligente de Proteja sus cuentas en línea. Echemos un vistazo a algunos de los servicios que puede bloquear con mayor seguridad. . Entonces enciéndelo.

¿Para qué servicios debe usar la autenticación de dos factores? En resumen, tantos como puedas. Sus servicios más importantes, como el correo electrónico, la banca y el almacenamiento en la nube, definitivamente deberían estar protegidos por él. Cualquier otra cosa es una bonificación. Hazlo ahora.

Estar atento

Los usuarios de OneLogin aprendieron una dura lección: ningún servicio es 100 por ciento seguro. Esta fue una forma particularmente dura de aprender esta lección, pero a la larga, puede ser lo mejor. Si eres usuario de OneLogin, deberías ocuparte recogiendo las piezas. Si no lo eres, considérate afortunado y toma medidas para asegurarte de que no te suceda.

¿Te afectó el hack de OneLogin? ¿Te hace pensar dos veces sobre los administradores de contraseñas o las aplicaciones de inicio de sesión único? Comparte tus pensamientos en los comentarios a continuación!




Nadie ha comentado sobre este artículo todavía.

12 razones por las cuales las personas TODAVÍA ignoran sus correos electrónicos
Productividad
8 herramientas gratuitas para trabajar y colaborar en línea desde su hogar
Productividad
8 consejos para buscar y ordenar rápidamente tarjetas y listas de Trello
Productividad
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.