王国之钥:OneLogin数据泄露

您是否使用单点登录(SSO)解决方案让您的学生和工作人员登录到多个系统?如果是这样，您将希望阅读这篇博客文章。2017年5月31日，星期三，OneLogin通知其1200万客户(英国广播公司,2013)，他们的SSO解决方案已被攻破:

OneLogin公司为客户提供一个登录账号，以便登录多个网站和应用程序。该公司似乎泄露了客户数据，包括解密加密文件的能力。该公司周三通过电子邮件通知客户，事件起因是未经授权访问了其美国的一个数据中心。（来源:Threatpost)

“该公司表示，其在美国的所有数据中心都遭到了黑客攻击，客户数据‘可能被泄露’。’”(资料来源：C-NET)

在我们探讨漏洞的含义之前，让我们先回顾一下为什么SSO解决方案如此重要。

SSO使学习成为可能

只有最小的学区可以使用在线教学系统手动维护所有学生和教职员工的用户名和密码。每个项目都要求教职员工和学生维护一个唯一的登录名和密码。对于所有负责记忆和跟踪这些登录凭证的人来说，这需要付出巨大的努力。

SSO简化了对数字教科书、在线系统等的40个或更多用户名和密码的跟踪。目前流行的SSO解决方案包括Classlink、Encore*、Identity Automation、Lenovo/Stoneware、OneLogin和Tools4Ever。解决方案提供商提供单点登录、自助重置密码、用户发放/去发放等服务。其他服务包括IT生产力、申请人/家长自我注册、云安全、多因素认证等。这些都是基本服务。学区SSO解决方案的数据泄露可能意味着学生和工作人员的敏感数据被泄露。

*请注意Encore在这篇博客文章的结尾所做的关于他们的建议的声明。正在寻找来自其他SSO解决方案提供商的语句。

一个login缺口再次打开门

作为一个既定的解决方案，OneLogin的漏洞为5000多项有价值的服务（如黑板、Moodle、谷歌、Office365）为受影响的学区。以下是一些相关引用：

“……该公司提供了有关这次入侵的更多细节，并透露，我们美国数据中心服务的所有客户都受到了影响;客户数据被泄露，包括解密加密数据的能力。这可是件大事。”(来源:解决方案评审)

“Gartner Inc.金融欺诈分析师Avivah Litan说，她长期以来一直不鼓励公司使用基于云的单点登录服务，认为它们（基于云的SSO提供商）在数字上等同于一个组织将所有鸡蛋放在一个篮子里。“这就是一个巨大的单点失败，”Litan说。“这一漏洞表明其他[基于云的单点登录]服务也容易受到攻击。这是一件大事，对受害客户来说是破坏性的，因为他们现在必须改变其身份验证系统的内部结构，而这会给员工带来很多不便。”(资料来源:Krebs On Security)

“该漏洞是该公司自去年8月以来最大的安全隐患，当时该公司承认，一名攻击者设法利用其系统中的一个漏洞读取其安全笔记功能中被认为是私有的笔记。该事件是双管齐下的。该公司用于日志存储和分析的系统中的一个漏洞导致了安全N中的所有笔记OTE将以明文形式存储一个月。在此期间，在一次无关事件中，攻击者成功泄露了OneLogin员工的密码，使他们能够访问保存笔记的日志系统。”(来源:Threatpost)

OneLogin对受影响用户的建议

如果您是教育或商业客户，则OneLogin是引用如提供以下步骤:

1. 强制您的用户重置OneLogin目录密码;
2. 为使用SAML SSO的任何应用程序生成新证书；
3. 生成新的API凭据和OAuth令牌；
4. 为Active directory Connectors和LDAP directory Connectors生成并应用新的目录令牌;
5. 将用于验证的API或OAuth凭据更新到第三方目录，如G套件（Google）、Workday和UltiPro；
6. 生成和应用新的桌面SSO令牌;
7. 回收安全笔记中存储的任何机密；
8. 将用于验证的凭据更新到第三方应用以进行设置；
9. 为使用基于表单的身份验证的应用程序更新管理员配置的登录凭据；
10. 让你的终端用户更新他们可以编辑的基于表单的认证应用程序(包括个人应用程序)的密码;
11. 替换您的共享机密。

作为登记册指出，这是一个相当大的列表。想象一下，各个学区都在努力自己完成这项工作。

如果您所在的地区正在使用SSO解决方案，它今后可以做什么？

提前计划

Encore Technology Group总裁兼首席技术官Michael Knight最近在TCEA演讲技术领导峰会他说“此类违规行为表明了我们的立场，即地区应运行完全在其边界和控制范围内的IAM、排班和SSO平台，以便地区能够完整记录、审核、分析和查看数据、数据传输和数据访问。日志、审核和分析数据然后将数据输入中央日志记录和监控平台（例如SIEM——安全信息和事件管理），该平台将允许捷运局检测并最终防止数据泄露。”

*注:Enboard并不像泄密中描述的提供商那样在中央云框架上运行。

每个客户都有一个完全独立的平台，具有独立的安全上下文，其中所有身份数据、联合构造和元数据、加密密钥、多因素身份验证详细信息、日志记录、审核和管理凭据/访问都是单独存储的，并且是完全唯一的。所有最终用户SSO凭据都存储在encry中在客户的Active Directory中使用双唯一密钥加密。

最重要的是，捷运局完全控制所有数据、控制、管理、审核、记录，并可以限制提供商的所有访问，包括Encore支持的访问。

保护敏感数据不仅仅是一个组织的数字公民身份。当学校充当父母的角色时，他们已经接受了我们对孩子的照顾。然而，即使是像那些使用OneLogin解决方案的大学区(如圣何塞学区)，也会发现自己处于劣势。“做好影响!这可能是你能给有安全意识的学区的唯一建议。在这些情况下，他们各自王国的钥匙已经丢失。

来自Identity Automation的声明:

“RapidIdentity，来自身份自动化，旨在让我们的客户更安全。为了做到这一点，我们已经采取了重大措施来确保我们的系统本身的安全，特别是在托管在云上的时候。

和OneLogin一样，RapidIdentity也可以在亚马逊AWS上托管。与OneLogin不同的是，我们已经实现了严格的安全协议，由RapidIdentity的特权访问管理功能强制执行，确保没有个人直接访问托管实现，也没有后门。任何访问都必须由独立的身份自动化服务管理器(Identity Automation Service Manager)请求和批准，这意味着任何个人都不能单独破坏系统。此外，访问权限是在非常有限的时间内授予的(出于安全原因而保留的特定时间)，以防止因意外丢失凭证或访问权限而被破坏。

除此之外，RapidIdentity还有许多内置的措施来确保其安全性。除了需要第二方批准外，特权用户在访问安装的任何部分时还需要使用多因素身份验证，并且仅限于单个客户实现。对称、非对称和哈希加密方法的组合也被用于确保客户数据和凭证的机密性和完整性。”

-特洛伊·莫兰德，Identity Automation联合创始人兼首席技术官

自2017年4月6日起添加了新信息。