密码管理器OneLogin遭遇黑客攻击，企业客户敏感数据已被泄漏

OneLogin是一家为用户提供SSO（单点登录）服务的公司，近日该公司发生了黑客入侵事件。

OneLogin首席安全官Alvaro Hoyos在一篇简短的博客文章中表示，他们已经意识到其美国用户的数据遭到了攻击者“未经授权的访问”，并已经向相关用户发出了安全通知。

Hoyos表示，公司已经在发现问题的第一时间，采取行动阻断了未经授权的访问行为，并正在与执法部分进行合作彻底调查此次事件。

该公司最初发布的博客文章并未阐述过多与此次事件相关的详细信息，其发送给客户的告警电子邮件也只是说明，

OneLogin认为，所有由我们美国数据中心提供服务的客户都受到了影响，客户的数据也可能会受到影响。

后来，该公司又在当天晚些时候表示，

我们的审查结果表明，一个威胁行动者已经获取了一组亚马逊Web服务（AWS）密钥的访问权限，并使用它们访问AWS API。

OneLogin证实，攻击行为似乎开始于凌晨2点，但是工作人员在7小时后才受到异常数据库行为的警告。该公司发言人表示，

我们已经在接收到告警信息几分钟内，关闭了受影响的实例以及用于创建它的AWS密钥。”

该公司继续补充道，

威胁行为者能够访问包含有关用户、应用程序和各种类型的密钥信息的数据库列表。虽然一些静态敏感数据都进行了加密处理，但是我们不能排除黑客已经具备解密数据能力的可能性。

目前，OneLogin新闻发言人并没有明确哪些数据是没有进行过加密的，我们要求获取明确答复，该公司尚未做出回应。

据悉，OneLogin已经向用户发出安全公告，建议用户即使更改密码，为其服务生成新的API密钥，并创建用于登录账户的新OAuth令牌以及新的安全证书。该公司还表示，其Secure Notes功能（通常被IT管理人员用于存储敏感的网络密码）中存储的信息可以被解密。

目前OneLogin尚未公布究竟有多少用户受到此次威胁影响，但是根据其官网所示，其客户包括ARM、Dun＆Bradstreet、The Carlyle Group、Conde Nast以及Dropbox（发言人在电子邮件中提出了异议，是否为其用户有待考究）等数十家主要的跨国公司。

OneLogin允许企业用户通过一个密码访问多个Web应用程序、站点和服务。据CrunchBase认为，该公司为数十个国家的2,000多家公司的数百万用户提供服务。

据悉，该单点登录提供商集成了数百种不同的第三方应用程序和服务，如Amazon Web Services、Microsoft Office 365、LinkedIn、Slack、Twitter以及Google服务等。

而此次并不是OneLogin头一遭遭遇此类安全问题，去年8月，该公司就警告其用户称其“Secure notes”服务遭到“未经授权的用户”访问，但拒绝承认有任何用户数据遭到泄漏或盗用。

OneLogin所提供的Secure notes，是为个人用户提供的记事本工具，可以以加密形式，在服务器上存储文本信息。在OneLogin的官网上，他们甚至建议用户将自己的密码或者证书密钥等信息存储在Secure notes上。

当时，OneLogin的首席信息安全官Alvaro Hoyos说，

Secure note 使用的是AES－256加密，然而系统中的漏洞却导致存于Secure notes上的文本可以被以明文的形式，在日志中被查看。

在服务器被攻陷期间，取得权限的黑客可以利用该漏洞，查看和编辑Secure notes上的信息。