OneLogin снова взломали

[ogfox]

"В официальном сообщении OneLogin говорится, что хакерам удалось получить доступ к платформе, на которой размещены все ресурсы компании. Как сервис сторонней аутентификации ставит на кон данные миллионов пользователей?
Сегодня ночью сервис авторизации OneLogin разослал клиентам и партерам сообщение о взломе, а также опубликовал в своем блоге сообщение об инциденте. OneLogin — это облачный сервис для аутентификации пользователей, а также для управления учетными записями. Как работают подобные сервисы? Они позволяют создателям приложений вместо того, чтобы вести учет пользователей и выполнять их аутентификацию на своей стороне, делегировать эту функцию стороннему сервису. Как мы видим, это делегирование не всегда оказывается безопасным.

Клиентами OneLogin являются более 2000 компаний из 44 стран мира, а партнерами — более 300 производителей приложений и около 70 производителей SaaS-сервисов. OneLogin можно по праву назвать одним из основных игроков рынка."

Не понимаю, как можно доверять свои учетки онлайн менеджерам паролей, не первая и не последняя ломка подобного сервиса

[somtam]

а ты хочешь сам это делать? писать самому это все очень тяжело и слопает кучу человеком часов и где гарантия что твое не поимеют еще более простым способом?

я имею в виду если нормально писать, а не хуяк хуяк БД на файлах да на пэхапэ народными умельцами или "есть под вордпресс плагин"

ну т.е. чтобы можно было восстанавливать пароль, активация, чтобы была возможность social button логин, а для энтерпрайза интеграция еще всякие active directory, ws-federation, многфакторная авторизация и прочее говно - можно охуеть это все делать.

поэтому берут готовые решения зачастую, это экономически оправдано и позволяет сэкономить кучу человекочасов на поддержку и обслуживание своего решения которое навряд ли сможет тягаться по удобству и безопасности с специализированными сервисами.

[Hector]

KeePass спасёт отца русской демократии

[ogfox]

somtam, не, я ничего не хочу писать. Просто это отличный пример, что хранение своих данных от учеток в подобных сервисах удел домохозяек.
Кстати, у LastPass тоже недавно были подобные проблемы.
KeePass как вариант, просто заебись.
Нравится когда ответственность за мои данные лежит на мне - так не кого будет винить в случае проеба и волосы рвать на себе за пассивность в этом вопросе.
Да и кстати, браузерам тоже не доверяю хранения пассов.
Пока сидел на Опере (нормальной, не с движком хромиума) держал портативную на шифр диске и сохранял в ней пароли (они локально хранились).
Когда пересел на Хром, тоже какое-то время сохранял, потом отказался от подобного, сейчас даже не логинюсь в нем.
Помимо хацкеров, не стоит забывать, что эти все облачные сервисы сдадут с потрохами при первом запросе людей в пиджачках.

[Matt Cutts]

Локальный Roboform с бэкапами и шифрованием.

[somtam]

Цитата:

Сообщение от ogfox

somtam, не, я ничего не хочу писать. Просто это отличный пример, что хранение своих данных от учеток в подобных сервисах удел домохозяек.
Кстати, у LastPass тоже недавно были подобные проблемы.
KeePass как вариант, просто заебись.
Нравится когда ответственность за мои данные лежит на мне - так не кого будет винить в случае проеба и волосы рвать на себе за пассивность в этом вопросе.
Да и кстати, браузерам тоже не доверяю хранения пассов.
Пока сидел на Опере (нормальной, не с движком хромиума) держал портативную на шифр диске и сохранял в ней пароли (они локально хранились).
Когда пересел на Хром, тоже какое-то время сохранял, потом отказался от подобного, сейчас даже не логинюсь в нем.
Помимо хацкеров, не стоит забывать, что эти все облачные сервисы сдадут с потрохами при первом запросе людей в пиджачках.

KeePass, хром это вообще не то. То сервисы для реализации процесса регистрации/логина, а не для хранения и вставления паролей https://developers.onelogin.com/api-...on-login-token те в своем приложении ты используешь их апи для того чтобы аутентификацировать юзеров. Да и хули толку в этом доступе у них наверняка все пароли в виде хэшей хранились.

[ogfox]

Цитата:

Сообщение от somtam

KeePass, хром это вообще не то. То сервисы для реализации процесса регистрации/логина, а не для хранения и вставления паролей https://developers.onelogin.com/api-...on-login-token те в своем приложении ты используешь их апи для того чтобы аутентификацировать юзеров. Да и хули толку в этом доступе у них наверняка все пароли в виде хэшей хранились.

Вот блин, а я думал эти сервис типа ластпасса да и в новостях так осветили Сам не юзал.
Насчет доступа в другом источнике:

Цитата:

Как оказалось, неизвестные злоумышленники сумели получить неавторизованный доступ к данным по американскому региону. И хотя атакующие сразу же были заблокированы, компания предупреждает, что хакеры успели получить доступ к информации пользователей и теперь имеют возможность ее расшифровать.

Представители компании объясняют, что неизвестные взломщики каким-то образом сумели достать ключи от AWS, которыми и воспользовались для доступа к AWS API. После этого атакующим стали доступны таблицы базы данных, в которых содержалась информация о пользователях приложения, а также «различные типы ключей».

«Хотя мы шифруем определенные конфиденциальные данные, которых храним, на данный момент мы не можем полностью исключить вероятность того, что злоумышленники также получили возможность расшифровать информацию», — гласит официальное сообщение компании.

[somtam]

если там норм. хэши использовали да еще с солью то сильно вероятно, что никто не будет изъебываться тратить кучу ресурсов на попытки дешифровки. продуктивнее будет крипту помайнить.