您是否使用单点登录(SSO)解决方案让您的学生和工作人员登录到多个系统?如果是这样,您将希望阅读这篇博客文章。2017年5月31日,星期三,OneLogin通知其1200万客户(英国广播公司,2013),他们的SSO解决方案已被攻破:
OneLogin公司为客户提供一个登录账号,以便登录多个网站和应用程序。该公司似乎泄露了客户数据,包括解密加密文件的能力。该公司周三通过电子邮件通知客户,事件起因是未经授权访问了其美国的一个数据中心。(来源:Threatpost)
“该公司表示,其在美国的所有数据中心都遭到了黑客攻击,客户数据‘可能被泄露’。’”(来源:C-NET)
在我们探讨漏洞的含义之前,让我们先回顾一下为什么SSO解决方案如此重要。
SSO使学习成为可能
只有最小的学区可以使用在线教学系统手动维护所有学生和教职员工的用户名和密码。每个项目都要求教职员工和学生维护一个唯一的登录名和密码。对于所有负责记忆和跟踪这些登录凭证的人来说,这需要付出巨大的努力。
SSO简化了对数字教科书、在线系统等的40个或更多用户名和密码的跟踪。目前流行的SSO解决方案包括Classlink、Encore*、Identity Automation、Lenovo/Stoneware、OneLogin和Tools4Ever。解决方案提供商提供单点登录、自助重置密码、用户发放/去发放等服务。其他服务包括IT生产力、申请人/家长自我注册、云安全、多因素认证等。这些都是基本服务。学区SSO解决方案的数据泄露可能意味着学生和工作人员的敏感数据被泄露。
*请注意Encore在这篇博客文章的结尾所做的关于他们的建议的声明。正在寻找来自其他SSO解决方案提供商的语句。
一个login缺口再次打开门
一个既定的解决方案,OneLogin的入侵打开了一扇门5000 +价值服务(如Blackboard, Moodle,谷歌,Office365)。以下是一些相关的引用:
“……该公司提供了有关这次入侵的更多细节,并透露,我们美国数据中心服务的所有客户都受到了影响;客户数据被泄露,包括解密加密数据的能力。这可是件大事。”(来源:解决方案评审)
高德纳公司的金融欺诈分析师阿维娃·利坦说,她一直不鼓励企业使用基于云计算的单点登录服务,她认为这些企业(基于云计算的单点登录提供商)在数字领域相当于把所有鸡蛋都放在一个篮子里。“这只是一个巨大的单点故障,”Litan说。“这一漏洞表明,其他(基于云的单点登录)服务也很容易受到攻击。这是一件大事,对受害客户来说是破坏性的,因为他们现在必须改变其认证系统的内部结构,而这一过程给员工带来了很多不便。”(资料来源:Krebs On Security)
这是自去年8月以来该公司最大的安全漏洞,当时该公司承认,一名攻击者设法利用其系统中的一个漏洞,读取了安全笔记功能中被认为是隐私的笔记。这一事件是两面性的。该公司用于日志存储和分析的系统存在一个bug,导致安全笔记中的所有笔记都以明文形式存储了一个月。在此期间,在一起不相关的事件中,一名攻击者成功破解了OneLogin员工的密码,这让他们得以进入保存笔记的登录系统。”(来源:Threatpost)
OneLogin对受影响用户的建议
如果你是一个教育或商业客户,OneLogin是引用如提供以下步骤:
- 强制您的用户重置OneLogin目录密码;
- 为任何使用SAML SSO的应用程序生成新的证书;
- 生成新的API凭证和OAuth令牌;
- 为Active directory Connectors和LDAP directory Connectors生成并应用新的目录令牌;
- 更新用于向第三方目录(如G Suite(谷歌),Workday,即,和multipro)进行身份验证的API或OAuth证书;
- 生成和应用新的桌面SSO令牌;
- 回收任何储存在安全笔记中的秘密;
- 更新您用于向第三方应用程序进行配置认证的凭证;
- 为使用基于表单的认证的应用程序更新管理员配置的登录凭据;
- 让你的终端用户更新他们可以编辑的基于表单的认证应用程序(包括个人应用程序)的密码;
- 替换您的RADIUS共享秘密。
作为寄存器指出,这是一个相当大的列表。想象一下,各个学区都在努力自己完成这项工作。
如果您的地区正在使用SSO解决方案,它今后能做什么?
提前计划
Encore Technology Group总裁兼首席技术官Michael Knight最近在TCEA演讲技术领导峰会记者联系到了他,请他置评。他说:“这种类型的泄露表明了我们的立场,即各学区应该在其边界和控制范围内运营一个IAM、rosteringand SSO平台,以便学区能够对数据、数据传输和数据访问进行完整的日志记录、审计、分析和可见性。然后,日志、审计和分析数据可以被输入中央日志和监控平台(例如SIEM -安全信息和事件管理),该平台将允许地区检测并最终防止数据泄露。”
*注意:Enboard并不像泄密中描述的提供商那样在中央云框架上运行。
每个客户都有一个完全独立的平台,具有独立的安全上下文,其中所有身份数据、联合构造和元数据、加密密钥、多因素身份验证细节、日志、审计和管理凭证/访问都是单独存储的,并且是完全唯一的。所有终端用户SSO凭据都用双密钥加密存储在客户的Active Directory中。
最重要的是,该地区拥有对所有数据、控制、管理、审计、日志的完全控制,并可以限制来自供应商的所有访问,包括来自Encore Support的访问。
保护敏感数据不仅仅是一个组织的数字公民身份。当学校充当父母的角色时,他们已经接受了我们对孩子的照顾。然而,即使是像那些使用OneLogin解决方案的大学区(如圣何塞学区),也会发现自己处于劣势。“做好影响!这可能是你能给有安全意识的学区的唯一建议。在这些情况下,他们各自王国的钥匙已经丢失。
来自Identity Automation的声明:
“RapidIdentity,来自身份自动化,旨在让我们的客户更安全。为了做到这一点,我们已经采取了重大措施来确保我们的系统本身的安全,特别是在托管在云上的时候。
和OneLogin一样,RapidIdentity也可以在亚马逊AWS上托管。与OneLogin不同的是,我们已经实现了严格的安全协议,由RapidIdentity的特权访问管理功能强制执行,确保没有个人直接访问托管实现,也没有后门。任何访问都必须由独立的身份自动化服务管理器(Identity Automation Service Manager)请求和批准,这意味着任何个人都不能单独破坏系统。此外,访问权限是在非常有限的时间内授予的(出于安全原因而保留的特定时间),以防止因意外丢失凭证或访问权限而被破坏。
除此之外,RapidIdentity还有许多内置的措施来确保其安全性。除了需要第二方批准外,特权用户在访问安装的任何部分时还需要使用多因素身份验证,并且仅限于单个客户实现。对称、非对称和哈希加密方法的组合也被用于确保客户数据和凭证的机密性和完整性。”
-特洛伊·莫兰德,Identity Automation联合创始人兼首席技术官
截至2016/04/2017新增信息。