'Authenticatiedienst OneLogin bagatelliseert datalek in VS'

Authenticatiedienstverlener OneLogin heeft zijn klanten gewaarschuwd voor een datalek dat zijn klanten in de VS treft. Op een ondersteuningspagina heeft de mededeling echter een andere inhoud en blijkt dat de mogelijkheid tot decryptie van versleutelde gegevens bestaat.

De ondersteuningspagina is alleen zichtbaar voor ingelogde gebruikers, schrijft The Register. De site heeft de waarschuwing op de betreffende pagina ingezien en meldt dat de inhoud daarvan verschilt met de publieke mededeling van OneLogin. Daarin schrijft het bedrijf dat er 'onbevoegde toegang is verkregen tot gegevens van klanten in de Amerikaanse dataregio'.

De strekking van de ondersteuningspagina is anders. Daar laat het bedrijf weten: "Alle klanten die gebruikmaken van onze Amerikaanse datacenters zijn getroffen. Klantgegevens zijn gestolen, inclusief de mogelijkheid om versleutelde gegevens te ontsleutelen." Het bedrijf maakt niet bekend om wat voor gegevens het precies gaat.

OneLogin beveelt klanten aan om verschillende maatregelen te nemen. Daaronder is het opnieuw instellen van wachtwoorden, het opnieuw aanmaken van tokens, het verwijderen van geheimen die zijn opgeslagen in beveiligde notities en het aanmaken van nieuwe certificaten. In een e-mail aan klanten die door Tweakers is ingezien, laat het bedrijf weten dat het geen nadere details over het datalek kan geven vanwege samenwerking met opsporingsdiensten. In de mail schrijft de dienst dat 'gegevens mogelijk zijn buitgemaakt'.

OneLogin is een Amerikaans bedrijf dat diensten levert op het gebied van single sign on en identiteitsmanagement. Klanten zijn bedrijven als Zendesk, Pandora en Dropbox.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 01-06-2017 11:35
36 • submitter: Nees

01-06-2017 • 11:35

36

Submitter: Nees

Lees meer

Onbeveiligde database gaf toegang tot gegevens van 198 miljoen kiezers in VS
Onbeveiligde database gaf toegang tot gegevens van 198 miljoen kiezers in VS Nieuws van 19 juni 2017
OneLogin-datalek was gevolg van gestolen AWS-gegevens
OneLogin-datalek was gevolg van gestolen AWS-gegevens Nieuws van 2 juni 2017
Uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten lekken uit
Uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten lekken uit Nieuws van 15 maart 2017
'Spammerdatabase met 1,4 miljard e-mailadressen lekt uit door fout bij back-up'
'Spammerdatabase met 1,4 miljard e-mailadressen lekt uit door fout bij back-up' Nieuws van 6 maart 2017
Website LeakedSource die gekraakte wachtwoorddatabases aanbood is offline
Website LeakedSource die gekraakte wachtwoorddatabases aanbood is offline Nieuws van 27 januari 2017
'Amerikaanse beurswaakhond onderzoekt late melding datalekken door Yahoo'
'Amerikaanse beurswaakhond onderzoekt late melding datalekken door Yahoo' Nieuws van 23 januari 2017
Meer producten en artikelen
Netwerk en systeembeheer Datalek Security

Reacties (36)

-Moderatie-faq
36
34
31
5
0
3
Wijzig sortering
CAPSLOCK2000
1 juni 2017 14:14
Ik ga er van uit dat dit bedrijf nu falliet gaat. Toch?
Ze hebben hun belangrijkste taak verzaakt en niet een beetje maar heel erg. Dat er data gestolen wordt is tot daar aan toe. Dat die data ontsleutelt kan worden is echter niet acceptabel.

Dit illustreert weer waarom ik zo huiverig ben voor dit soort diensten. Je geeft je meest gevoelige data uit handen en je hebt geen enkele manier om te controleren of er goed mee wordt om gegaan. Het hele vertrouwensmodel gaat vaak niet verder dan "Mijn baas heeft gepraat met een verkoper en die had prachtige blauwe ogen en een indrukwekkend stuk papier met geweldige beloftes".
Keer op keer blijkt dat papieren beloftes in praktijk weinig voorstellen, zeker als je geen team van juristen achter je hebt staan om te zorgen dat de beloftes worden nagekomen.
robvanwijk
@CAPSLOCK20001 juni 2017 15:51
Ik ga er van uit dat dit bedrijf nu falliet gaat. Toch?
In wat voor wereld van redelijke verwachtingen leef jij? :p

Ik ben het helemaal met je eens, maar wil nog een doodzonde toevoegen aan het lijstje: een verschillend verhaal vertellen aan je gebruikers en aan de rest van de wereld. Dat je publiekelijk zegt "we kunnen geen details geven" is nog tot daar aan toe (en behoorlijk naïef), maar publiekelijk zeggen "klein foutje, niks aan de hand" en tegen je gebruikers "naar de reddingsboten (vergeet je ducttape niet want ze zijn lek)!!!111" is mijns inziens volkomen onacceptabel. Wat ze doen is namelijk misleidende informatie verspreiden over hun betrouwbaarheid, in dit geval, over hun core business.
MoonWatcher @CAPSLOCK20001 juni 2017 20:19
Ik weet niet of ze failiet gaan.

Je zou inderdaad verwachten dat nu iedereen massaal hun gegevens gaat overzetten naar een andere dienst.

Aan de andere kant, ze zijn al een keer eerder gehacked en daarna bestonden ze ook nog.
https://www.cso.com.au/ar...password-storage-feature/

Dus wellicht zullen ze dit ook wel weer gewoon overleven.
Jerie @CAPSLOCK20002 juni 2017 19:42
Ik ga er van uit dat dit bedrijf nu falliet gaat. Toch?
Ach, waarschijnlijk is dit zo'n een- of tweemanszaak met durfkapitaal [1]. Die gaan of na een paar jaar over de kop, of ze worden overgenomen door een groot bedrijf. Dat veel van die bedrijven falen, wordt gewoon in de investering meegerekent. Het zou dus goed kunnen dat het bedrijf failliet gaat. Maar het kan ook net zo goed dat het wordt overgenomen door een grotere vis (hetzij nu dan voor een habbekrats).

[EDIT] [1] https://www.cbinsights.com/company/onelogin-funding en ja hoor

[Reactie gewijzigd door Jerie op 22 juli 2024 19:24]

Kaastosti 1 juni 2017 12:08
"Klantgegevens zijn gestolen, inclusief de mogelijkheid om versleutelde gegevens te ontsleutelen."

Kan ik daaruit concluderen dat ze daar zelf ook een (centrale) sleutel hebben om jouw data te decrypten mocht iemand dat nodig achten? Als authenticatiedienst is het geen beste reclame als iemand van buiten de organisatie in staat is dat allemaal buit te maken... hoe PR-en ze dat weg?
SuBBaSS @Kaastosti1 juni 2017 12:38
Zoals dat nu (en veel vaker bij andere breaches zoals deze) gaat: een downplay van jewelste en vaag doen over wat er precies gestolen is.
Een bedrijf dat zich met deze technologie bezighoudt en schijnbaar de beveiliging niet "on par" kan houden dat ook nog eens niet kan zeggen om wat voor soort gegevens het precies gaat.

Laat het even tot je doordringen....
3x3 1 juni 2017 11:44
"Alle klanten die gebruikmaken van onze Amerikaanse datacenters zijn getroffen. Klantgegevens zijn gestolen, inclusief de mogelijkheid om versleutelde gegevens te ontsleutelen.
Oftewel, alle poorten staan open. Niet handig als je dienstverlening bestaat uit wel of niet toegang verlenen tot hun accounts.

Ik snap niet waarom ze het oplossen van dit probleem niet naar zich toe trekken, de klanten worden geadviseerd zelf 3 handelingen gaan doen. Maar de enige oplossing van een beveiligingsprobleem op deze schaal, lijkt mij dat je dit voor iedereen forceert.
Mopperman @3x31 juni 2017 11:47
Als je dit zelf forceerd moeten de klanten alsnog acties nemen in hun infra -> doen ze dit niet ligt hunt bedrijf deels plat. Kan wel begrijpen dat men deze acties dan liever (eventueel in samenspraak met) de klanten uitvoerd.
3x3 @Mopperman1 juni 2017 11:56
De klanten willen niet dat derden bij hun accounts komen, dus het herstellen van de veiligheid lijkt mij iets van hoogste urgenties.

Het is denk ik tijd om met de b2b klanten te gaan forceren dat iedereen, zijn wachtwoord reset en de nieuwe public en private keys worden aangemaakt voor gebruikers weer kunnen inloggen.

Alleen een dwingende mededeling lijkt mij geen voldoende methode om dit probleem op te lossen. Het daadwerkelijk forceren dat gebruikers weer nieuwe tokens, wachtwoorden en certificaten gaan aanmaken voor ze van de gekoppelde diensten weer kunnen gebruiken lijkt mij noodzakelijk.

Een poortwachter die alle poorten laat, is geen poortwachter.

[Reactie gewijzigd door 3x3 op 22 juli 2024 19:24]

walteij @3x31 juni 2017 11:49
Tokens en certificaten aanmaken zouden ze wel kunnen doen, maar dan heeft OneLogin zowel de public als private key voor het token, wat weer niet veilig is. De oude tokens en certificaten intrekken lijkt me ook geen goed idee, omdat mensen dan niet (meer) in kunnen loggen.

Het wachtwoord geforceerd wijzigen is dan wel weer iets dat zij kunnen doen, maar goed, dat is slechts 1 van de stappen die gedaan moeten worden.
jochem4207 1 juni 2017 11:50
OneLogin is een Amerikaans bedrijf dat diensten levert op het gebied van single sign on en identiteitsmanagement. Klanten zijn bedrijven als Zendesk, Pandora en Dropbox.


Is er nu reden om je dropbox pass te veranderen?

[Reactie gewijzigd door jochem4207 op 22 juli 2024 19:24]

Verwijderd @jochem42071 juni 2017 12:38
Als je Dropbox gebruikt moet je geen enkele privacy verwachten. De bestanden die je daar neerzet zijn gewoon te benaderen door Dropbox medewerkers. Het bedrijf geeft wel de indruk dat ze streng zijn en dat bijna niemand toegang heeft tot de gegevens, maar dat is geen knip voor de neus waard.

Op z'n minst moet je alles versleutelen met 7Ziip voordat je het upload naar Dropbox.

Liever zie ik een end-to-end encrypted cloud opslag dienst zoals Wuala ooit was.
_Drum_ @Verwijderd1 juni 2017 12:51
Als je een encrypted cloud opslag zoekt, moet je eens kijken naar https://spideroak.com/personal/spideroak-one.
jeroen3 @_Drum_2 juni 2017 09:20
Is er niets Europees? Ik ben wel een beetje klaar met al die US-based internetdiensten.
Yoshi @Verwijderd1 juni 2017 13:05
https://www.liquidfiles.com/ als het enkel voor versturen is. en verder sluit ik mij aan bij @_Drum_

[Reactie gewijzigd door Yoshi op 22 juli 2024 19:24]

borft @jochem42071 juni 2017 11:55
nee, het gaat om een intern systeem dat door dropbox gebruikt wordt voor haar medewerkers.
jochem4207 @borft1 juni 2017 12:11
Dankjewel :)
DvE @jochem42071 juni 2017 12:17
Die weer toegang hebben tot al je data?
borft @DvE1 juni 2017 12:25
allicht, maar daar gaat je wachtwoord veranderen niet aan doen!
jeroen3 @jochem42071 juni 2017 11:59
OneLogin is volgens mij een soort LastPass voor bedrijven. Op een manier dat het inloggen bij Dropbox vastzit aan je user account op het werk.

Geen problemen dus als je geen Dropbox For Business hebt.
dgalama 1 juni 2017 12:52
Hm, ik heb net alles vorige week omgezet van de combi Keepass/OneDrive (met 2FA) naar LastPass, voor wat meer gebruiksgemak. Dit soort berichten brengt me dan toch weer aan het twijfelen of ik daarin wel de veiligste keuze heb gemaakt. Want ook LastPass is niet gespaard gebleven van security breaches, terwijl ik dat van OneDrive nog nergens gehoord heb.
calvinturbo @dgalama1 juni 2017 13:17
Lastpass zit heel nauw op hun beveiliging en bovendien kunnen ze zelf ook niet bij je wachtwoorden, die worden client-side encrypted en decrypted.
SuperDre @calvinturbo1 juni 2017 13:35
Maar toch hebben ze al security breaches gehad. dus kunnen ze nog wel 'nauw op hun beveiliging' zitten, maar dat zegt maar weinig..
calvinturbo @SuperDre1 juni 2017 13:43
Dat zegt vrij weinig, niks is 100% veilig. Het gaat erom dat je structuur goed is en dat je beveiligingsproblemen snel oplost en communiceert naar je gebruikers.
borft @calvinturbo1 juni 2017 14:05
mwah, dat is niet helemaal waar. Hoe denk je dat de shared secrets werken en gesynchroniseerd worden?
vide 1 juni 2017 11:46
Het nadeel van alle eieren in 1 mandje te leggen natuurlijk... Maar dat geldt voor eender welke dienst of offline password manager (KeePass, ...)

Hopelijk komen ze snel met meer gedetailleerde informatie zodat duidelijk is wie getroffen is en welke schade er is.
walteij @vide1 juni 2017 11:51
Maar KeePass kan ik ergens neerzetten waar mensen maar heel moeilijk bij kunnen komen.
Lees: een VDI omgeving in een afgeschermd VLAN waar je alleen met 2FA bij kunt komen.
borft @walteij1 juni 2017 12:05
Heel leuk, maar probeer dat maar eens bij een bedrijf met honderden of duizenden gebruikers, op tientallen verschillende systemen en services ;) Dan wil je authenticatie (en authorisatie) centraal regelen.

Onelogin heeft in principe ook een 2FA systeem. Alleen een beetje jammer dat ze blijkbaar hun eigen infra niet goed beveiligd hadden!
supersnathan94
@borft1 juni 2017 13:00
Ldap authorisatie voor login op accounts met daarin een keepass db per gebruiker en eentje shared voor shared accounts.

Of juist iets als iCloud keychain met 2FA en losse authenticatie code.
SinergyX 1 juni 2017 11:51
Daaronder is het opnieuw instellen van wachtwoorden, het opnieuw aanmaken van tokens, het verwijderen van geheimen die zijn opgeslagen in beveiligde notities en het aanmaken van nieuwe certificaten
Dus gewoon helemaal opnieuw beginnen?
SuperDre 1 juni 2017 13:34
Klanten zijn bedrijven als Zendesk, Pandora en Dropbox.
Maar wat voor gevolgen heeft dat voor de gebruikers van deze klanten?
Verwijderd 1 juni 2017 14:37
Login gegevens in de "cloud". Ik heb geen medelijden met je als dat fout gaat. Dat is net zoiets als een remtest doen op een beijzelde weg en dan klagen dat je auto in de prak gereden is. Eigen schuld dus.
Verwijderd 1 juni 2017 20:42
Dat je versleutelde data kwijtraakt, ok kan gebeuren. Maar dat deze ook nog eens te ontsleutelen zijn vind ik echt not done. Dit bedrijf mag van mij gewoon failliet.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq