Single-Sign-On-Dienst OneLogin gehackt

SicherheitSicherheitsmanagement

Die unbekannten Täter erbeuten persönliche Daten der Kunden und können nun möglicherweise deren Passwörter entschlüsseln. Kunden von T-Systems, das OneLogin ebenfalls für die Absicherung nutzt, sind nicht betroffen, weil das Angebot dafür über eine autarke Instanz bereitgestellt wird.

Die Betreiber des Single-Sign-On-Dienstes OneLogin mussten einen erfolgreichen Angriff auf ihre Computersysteme einräumen. Betroffen ist dem Unternehmen zufolge das Rechenzentrum in den USA. Dort erbeuteten bislang unbekannte Täter vertrauliche Kundendaten. Sie können nun möglicherweise Passwörter der OneLogin-Nutzer zu entschlüsseln. Der Single-Sign-On Dienst von OneLogin integriert Apps und Dienste von Anbietern wie Amazon Web Services, Microsoft Office 365, LinkedIn, Slack, Twitter und Google.

OneLogin gehackt (Grafik: OneLogin)

Kunden von T-Systems, das seit vergangenem Jahr OneLogin in Multi-Cloud-Umgebungen nutzt, um die Infrastrukturen seiner Kunden abzusichern sind nicht betroffen. Wie das deutsche Unternehmen auf Anfrage von silicon.de mitgeteilt hat, werden dazu komplett autarke Instanzen betrieben. So gesehen ist der Vorfall in den USA lediglich ein weitere Argument für das von der Deutschen Telekom seit Jahren aufgebaute Cloud-Ökosystem.

Weniger gut lässt sich der Angriff dagegen von Amazon als Werbung benutzen, lagen die Datenbanken doch auf dessen Servern. “Unsere Untersuchung hat ergeben, dass sich der Angreifer Zugang zu Schlüssel von Amazon Web Services verschafft hat und sie benutzte, um von einem anderen Host aus auf die AWS API zuzugreifen”, teilte OneLogin mit. Der Angreifer sei so in der Lage gewesen, auf Datenbank-Tabellen zuzugreifen, “die Informationen über Nutzer, Apps und verschiedene Arten von Schlüsseln enthalten.”

Der Angriff begann am Mittwoch gegen 2 Uhr morgens Ortszeit. Etwa sieben Stunden fielen Mitarbeitern von OneLogin ungewöhnliche Datenbankaktivitäten auf. Sie beendeten daher die betroffenen Instanzen. OneLogin fordert Kunden nun auf, Passwörter zu ändern, neue API-Schlüssel sowie neue OAuth-Token und Sicherheitszertifikate zu generieren.

Zwar würden “Bestimmte vertrauliche Daten” nur verschlüsselt gespeichert, es lasse sich dennoch nicht ausschließen, dass der Angreifer erbeutete Daten entschlüsseln kann. Auch Informationen, die in der Funktion “Secure Notes” hinterlegt sind, die von IT-Administratoren zu Speicherung von Netzwerkkennwörtern benutzt werden soll, könnten möglicherweise entschlüsselt werden.

Ausgewählte Whitepaper

Was CEBP ist und wie es Ihrem Unternehmen helfen kann

Mittelständische Unternehmen haben in der Regel schon erhebliche Summen in CRM- und ERP-Systeme investiert. Zwar wurden damit viele strategische Ziele erreicht, ein wichtiger Aspekt lässt häufig aber immer noch zu wünschen übrig: der Kundenservice. Genau hier verspricht CEBP deutliche Verbesserungen und Effizienzsteigerungen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen