数据泄露似乎不少见,但这家公司数据泄露,事情却不简单,因为他们的业务非常特殊。
密码和身份访问管理服务是什么?雷锋网先简单解释一下:
我们工作生活中有各种各样的账号密码,记不住,且容易输错。这时密码管理工具出现了,它可以帮你把所有账号密码记在软件里,有点像是把所有账号密码写在一个小本子上。
但是密码管理和小本子不完全一样,它还可以通过技术手段实现“单点登录”、“自动填充账号密码”等功能,让人们在上任何网站时都只需要同一个密码,甚至只需轻轻一点就能登录所有网站,方便至极。
于是有人指出问题了:把所有密码放在一起,不就等于把鸡蛋放在一个篮子里么?
呃……理论上确实如此,不过这些密码管理服务通常会做很多安全工作,比如把数据加密。但是也只能将风险降至很低,无法彻底杜绝数据泄露。这不,Onelogin 就出事了。
出了什么事?
市面上的身份管理软件大致可分成两类:本地存储和云端存储。
本地存储,就是只提供密码管理工具,不提供密码管理服务。可以理解为只提供篮子给用户装鸡蛋,至于用户把篮子放家里,还是放在大街上,一概不管;
云端存储,就是提供密码管理工具同时提供密码管理服务,不仅提供篮子给用户,还会把所有的篮子都放在他们自家的安全仓库(数据中心服务器)里统一看管。
Onelogin 就是后面这种,他们会把用户的所有账号密码和身份信息都统一存储在数据中心。但是他们没有看管好自家仓库,结果有黑客溜进了他们存储美国区域数据的“仓库”,偷走了里面所有装满鸡蛋的篮子。
雷锋网(公众号:雷锋网)了解到,Onelogin 公司在其发布的公告里表示:
美国的数据存储区域检测到了未经授权的访问数据。
简而言之就是发现有人成功入侵过。
虽然公告中没有说清楚到底有什么数据被黑客窃取,不过在他们发送给客户的支持页面中却清清白白地写明,所有存储在美国数据中心的客户数据都已经失窃。
在他们发送给用户的邮件中写道:
用户数据遭到了盗用,包括解密加密数据的能力。
也就是说,黑客不仅偷走了被加密的数据,还可能盗走了解密用的密钥,所有的加密措施完全失效。
据雷锋网了解,Onelogin 的主要业务是为企业提供账号安全服务,数据库一旦失窃,意味着他们的企业用户的所有账号密码都面临威胁。相信在看到数据泄露公告时,他们的企业客户都忍不住跳起来说脏话。
目前,Onelogin 公司已经联系相关安全公司和执法部门在紧急处理此事并探讨和验证事件的影响程度。同时发出通告,告知所有客户重置所有密码。
账号管理的矛盾
其实账号身份统一管理的安全争议和质疑一直都在。
每个网站都有各自独立的账号密码体系,而且要求使用复杂密码,这对用户简直是种折磨;
▲ 多少人面对密码框抓狂过?
可是账号统一之后,一旦该账号被盗,所有全军覆没;把所有密码统一放在密码管理器里,一旦被盗,也是全军覆没。
而且,即使不用密码管理软件,同样会出现问题。2016年移动安全报告显示,有七成以上用户在几乎所有网络账号都使用同一用户名与密码。这又何尝不是另一种形式的“鸡蛋放在一个篮子里”呢?而这也是“撞库”事件频发的主要原因。如果无论如何鸡蛋都在同一个篮子里,唯一的办法就是把篮子做得更安全难以攻破。
虽然这次发生数据泄露的是一家美国公司,且并没有在中国大量开展业务,但相信此次事件依然给国内做类似业务的公司敲了一个警钟。
