Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Authenticatiedienst OneLogin bagatelliseert datalek in VS'

Door , 36 reacties, submitter: Nees

Authenticatiedienstverlener OneLogin heeft zijn klanten gewaarschuwd voor een datalek dat zijn klanten in de VS treft. Op een ondersteuningspagina heeft de mededeling echter een andere inhoud en blijkt dat de mogelijkheid tot decryptie van versleutelde gegevens bestaat.

De ondersteuningspagina is alleen zichtbaar voor ingelogde gebruikers, schrijft The Register. De site heeft de waarschuwing op de betreffende pagina ingezien en meldt dat de inhoud daarvan verschilt met de publieke mededeling van OneLogin. Daarin schrijft het bedrijf dat er 'onbevoegde toegang is verkregen tot gegevens van klanten in de Amerikaanse dataregio'.

De strekking van de ondersteuningspagina is anders. Daar laat het bedrijf weten: "Alle klanten die gebruikmaken van onze Amerikaanse datacenters zijn getroffen. Klantgegevens zijn gestolen, inclusief de mogelijkheid om versleutelde gegevens te ontsleutelen." Het bedrijf maakt niet bekend om wat voor gegevens het precies gaat.

OneLogin beveelt klanten aan om verschillende maatregelen te nemen. Daaronder is het opnieuw instellen van wachtwoorden, het opnieuw aanmaken van tokens, het verwijderen van geheimen die zijn opgeslagen in beveiligde notities en het aanmaken van nieuwe certificaten. In een e-mail aan klanten die door Tweakers is ingezien, laat het bedrijf weten dat het geen nadere details over het datalek kan geven vanwege samenwerking met opsporingsdiensten. In de mail schrijft de dienst dat 'gegevens mogelijk zijn buitgemaakt'.

OneLogin is een Amerikaans bedrijf dat diensten levert op het gebied van single sign on en identiteitsmanagement. Klanten zijn bedrijven als Zendesk, Pandora en Dropbox.

Door Sander van Voorst

Nieuwsredacteur

01-06-2017 • 11:35

36 Linkedin Google+

Submitter: Nees

Reacties (36)

Wijzig sortering
Ik ga er van uit dat dit bedrijf nu falliet gaat. Toch?
Ze hebben hun belangrijkste taak verzaakt en niet een beetje maar heel erg. Dat er data gestolen wordt is tot daar aan toe. Dat die data ontsleutelt kan worden is echter niet acceptabel.

Dit illustreert weer waarom ik zo huiverig ben voor dit soort diensten. Je geeft je meest gevoelige data uit handen en je hebt geen enkele manier om te controleren of er goed mee wordt om gegaan. Het hele vertrouwensmodel gaat vaak niet verder dan "Mijn baas heeft gepraat met een verkoper en die had prachtige blauwe ogen en een indrukwekkend stuk papier met geweldige beloftes".
Keer op keer blijkt dat papieren beloftes in praktijk weinig voorstellen, zeker als je geen team van juristen achter je hebt staan om te zorgen dat de beloftes worden nagekomen.
Ik ga er van uit dat dit bedrijf nu falliet gaat. Toch?
In wat voor wereld van redelijke verwachtingen leef jij? :p

Ik ben het helemaal met je eens, maar wil nog een doodzonde toevoegen aan het lijstje: een verschillend verhaal vertellen aan je gebruikers en aan de rest van de wereld. Dat je publiekelijk zegt "we kunnen geen details geven" is nog tot daar aan toe (en behoorlijk naef), maar publiekelijk zeggen "klein foutje, niks aan de hand" en tegen je gebruikers "naar de reddingsboten (vergeet je ducttape niet want ze zijn lek)!!!111" is mijns inziens volkomen onacceptabel. Wat ze doen is namelijk misleidende informatie verspreiden over hun betrouwbaarheid, in dit geval, over hun core business.
Ik weet niet of ze failiet gaan.

Je zou inderdaad verwachten dat nu iedereen massaal hun gegevens gaat overzetten naar een andere dienst.

Aan de andere kant, ze zijn al een keer eerder gehacked en daarna bestonden ze ook nog.
https://www.cso.com.au/ar...password-storage-feature/

Dus wellicht zullen ze dit ook wel weer gewoon overleven.
Ik ga er van uit dat dit bedrijf nu falliet gaat. Toch?
Ach, waarschijnlijk is dit zo'n een- of tweemanszaak met durfkapitaal [1]. Die gaan of na een paar jaar over de kop, of ze worden overgenomen door een groot bedrijf. Dat veel van die bedrijven falen, wordt gewoon in de investering meegerekent. Het zou dus goed kunnen dat het bedrijf failliet gaat. Maar het kan ook net zo goed dat het wordt overgenomen door een grotere vis (hetzij nu dan voor een habbekrats).

[EDIT] [1] https://www.cbinsights.com/company/onelogin-funding en ja hoor

[Reactie gewijzigd door Jerie op 2 juni 2017 19:42]

"Klantgegevens zijn gestolen, inclusief de mogelijkheid om versleutelde gegevens te ontsleutelen."

Kan ik daaruit concluderen dat ze daar zelf ook een (centrale) sleutel hebben om jouw data te decrypten mocht iemand dat nodig achten? Als authenticatiedienst is het geen beste reclame als iemand van buiten de organisatie in staat is dat allemaal buit te maken... hoe PR-en ze dat weg?
Zoals dat nu (en veel vaker bij andere breaches zoals deze) gaat: een downplay van jewelste en vaag doen over wat er precies gestolen is.
Een bedrijf dat zich met deze technologie bezighoudt en schijnbaar de beveiliging niet "on par" kan houden dat ook nog eens niet kan zeggen om wat voor soort gegevens het precies gaat.

Laat het even tot je doordringen....
"Alle klanten die gebruikmaken van onze Amerikaanse datacenters zijn getroffen. Klantgegevens zijn gestolen, inclusief de mogelijkheid om versleutelde gegevens te ontsleutelen.
Oftewel, alle poorten staan open. Niet handig als je dienstverlening bestaat uit wel of niet toegang verlenen tot hun accounts.

Ik snap niet waarom ze het oplossen van dit probleem niet naar zich toe trekken, de klanten worden geadviseerd zelf 3 handelingen gaan doen. Maar de enige oplossing van een beveiligingsprobleem op deze schaal, lijkt mij dat je dit voor iedereen forceert.
Als je dit zelf forceerd moeten de klanten alsnog acties nemen in hun infra -> doen ze dit niet ligt hunt bedrijf deels plat. Kan wel begrijpen dat men deze acties dan liever (eventueel in samenspraak met) de klanten uitvoerd.
De klanten willen niet dat derden bij hun accounts komen, dus het herstellen van de veiligheid lijkt mij iets van hoogste urgenties.

Het is denk ik tijd om met de b2b klanten te gaan forceren dat iedereen, zijn wachtwoord reset en de nieuwe public en private keys worden aangemaakt voor gebruikers weer kunnen inloggen.

Alleen een dwingende mededeling lijkt mij geen voldoende methode om dit probleem op te lossen. Het daadwerkelijk forceren dat gebruikers weer nieuwe tokens, wachtwoorden en certificaten gaan aanmaken voor ze van de gekoppelde diensten weer kunnen gebruiken lijkt mij noodzakelijk.

Een poortwachter die alle poorten laat, is geen poortwachter.

[Reactie gewijzigd door 3x3 op 1 juni 2017 12:02]

Tokens en certificaten aanmaken zouden ze wel kunnen doen, maar dan heeft OneLogin zowel de public als private key voor het token, wat weer niet veilig is. De oude tokens en certificaten intrekken lijkt me ook geen goed idee, omdat mensen dan niet (meer) in kunnen loggen.

Het wachtwoord geforceerd wijzigen is dan wel weer iets dat zij kunnen doen, maar goed, dat is slechts 1 van de stappen die gedaan moeten worden.
OneLogin is een Amerikaans bedrijf dat diensten levert op het gebied van single sign on en identiteitsmanagement. Klanten zijn bedrijven als Zendesk, Pandora en Dropbox.


Is er nu reden om je dropbox pass te veranderen?

[Reactie gewijzigd door jochem4207 op 1 juni 2017 11:50]

Als je Dropbox gebruikt moet je geen enkele privacy verwachten. De bestanden die je daar neerzet zijn gewoon te benaderen door Dropbox medewerkers. Het bedrijf geeft wel de indruk dat ze streng zijn en dat bijna niemand toegang heeft tot de gegevens, maar dat is geen knip voor de neus waard.

Op z'n minst moet je alles versleutelen met 7Ziip voordat je het upload naar Dropbox.

Liever zie ik een end-to-end encrypted cloud opslag dienst zoals Wuala ooit was.
Als je een encrypted cloud opslag zoekt, moet je eens kijken naar https://spideroak.com/personal/spideroak-one.
Is er niets Europees? Ik ben wel een beetje klaar met al die US-based internetdiensten.
https://www.liquidfiles.com/ als het enkel voor versturen is. en verder sluit ik mij aan bij @_Drum_

[Reactie gewijzigd door white modder op 1 juni 2017 13:06]

nee, het gaat om een intern systeem dat door dropbox gebruikt wordt voor haar medewerkers.
Die weer toegang hebben tot al je data?
allicht, maar daar gaat je wachtwoord veranderen niet aan doen!
OneLogin is volgens mij een soort LastPass voor bedrijven. Op een manier dat het inloggen bij Dropbox vastzit aan je user account op het werk.

Geen problemen dus als je geen Dropbox For Business hebt.
Hm, ik heb net alles vorige week omgezet van de combi Keepass/OneDrive (met 2FA) naar LastPass, voor wat meer gebruiksgemak. Dit soort berichten brengt me dan toch weer aan het twijfelen of ik daarin wel de veiligste keuze heb gemaakt. Want ook LastPass is niet gespaard gebleven van security breaches, terwijl ik dat van OneDrive nog nergens gehoord heb.
Lastpass zit heel nauw op hun beveiliging en bovendien kunnen ze zelf ook niet bij je wachtwoorden, die worden client-side encrypted en decrypted.
Maar toch hebben ze al security breaches gehad. dus kunnen ze nog wel 'nauw op hun beveiliging' zitten, maar dat zegt maar weinig..
Dat zegt vrij weinig, niks is 100% veilig. Het gaat erom dat je structuur goed is en dat je beveiligingsproblemen snel oplost en communiceert naar je gebruikers.
mwah, dat is niet helemaal waar. Hoe denk je dat de shared secrets werken en gesynchroniseerd worden?
Het nadeel van alle eieren in 1 mandje te leggen natuurlijk... Maar dat geldt voor eender welke dienst of offline password manager (KeePass, ...)

Hopelijk komen ze snel met meer gedetailleerde informatie zodat duidelijk is wie getroffen is en welke schade er is.
Maar KeePass kan ik ergens neerzetten waar mensen maar heel moeilijk bij kunnen komen.
Lees: een VDI omgeving in een afgeschermd VLAN waar je alleen met 2FA bij kunt komen.
Heel leuk, maar probeer dat maar eens bij een bedrijf met honderden of duizenden gebruikers, op tientallen verschillende systemen en services ;) Dan wil je authenticatie (en authorisatie) centraal regelen.

Onelogin heeft in principe ook een 2FA systeem. Alleen een beetje jammer dat ze blijkbaar hun eigen infra niet goed beveiligd hadden!
Ldap authorisatie voor login op accounts met daarin een keepass db per gebruiker en eentje shared voor shared accounts.

Of juist iets als iCloud keychain met 2FA en losse authenticatie code.
Daaronder is het opnieuw instellen van wachtwoorden, het opnieuw aanmaken van tokens, het verwijderen van geheimen die zijn opgeslagen in beveiligde notities en het aanmaken van nieuwe certificaten
Dus gewoon helemaal opnieuw beginnen?
Klanten zijn bedrijven als Zendesk, Pandora en Dropbox.
Maar wat voor gevolgen heeft dat voor de gebruikers van deze klanten?
Login gegevens in de "cloud". Ik heb geen medelijden met je als dat fout gaat. Dat is net zoiets als een remtest doen op een beijzelde weg en dan klagen dat je auto in de prak gereden is. Eigen schuld dus.
Dat je versleutelde data kwijtraakt, ok kan gebeuren. Maar dat deze ook nog eens te ontsleutelen zijn vind ik echt not done. Dit bedrijf mag van mij gewoon failliet.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*