密碼管理公司OneLogin遭入侵，大量企業賬號密碼泄露

據外媒報道，周三（5月31日）密碼和身份訪問管理公司 Onelogin 承認，公司遭遇了數據泄露，並且數據量不小。

數據泄露似乎不少見，但這家公司數據泄露，事情卻不簡單，因為他們的業務非常特殊。

密碼和身份訪問管理服務是什麼？雷鋒網先簡單解釋一下：

我們工作生活中有各種各樣的賬號密碼，記不住，且容易輸錯。這時密碼管理工具出現了，它可以幫你把所有賬號密碼記在軟體里，有點像是把所有賬號密碼寫在一個小本子上。

但是密碼管理和小本子不完全一樣，它還可以通過技術手段實現「單點登錄」、「自動填充賬號密碼」等功能，讓人們在上任何網站時都只需要同一個密碼，甚至只需輕輕一點就能登錄所有網站，方便至極。

於是有人指出問題了：把所有密碼放在一起，不就等於把雞蛋放在一個籃子里么？

呃……理論上確實如此，不過這些密碼管理服務通常會做很多安全工作，比如把數據加密。但是也只能將風險降至很低，無法徹底杜絕數據泄露。這不,Onelogin 就出事了。

市面上的身份管理軟體大致可分成兩類：本地存儲和雲端存儲。

本地存儲，就是只提供密碼管理工具，不提供密碼管理服務。可以理解為只提供籃子給用戶裝雞蛋，至於用戶把籃子放家裡，還是放在大街上，一概不管；

雲端存儲，就是提供密碼管理工具同時提供密碼管理服務，不僅提供籃子給用戶，還會把所有的籃子都放在他們自家的安全倉庫（數據中心伺服器）里統一看管。

Onelogin 就是後面這種，他們會把用戶的所有賬號密碼和身份信息都統一存儲在數據中心。但是他們沒有看管好自家倉庫，結果有黑客溜進了他們存儲美國區域數據的「倉庫」，偷走了裡面所有裝滿雞蛋的籃子。

雷鋒網了解到，Onelogin 公司在其發布的公告里表示：

美國的數據存儲區域檢測到了未經授權的訪問數據。

簡而言之就是發現有人成功入侵過。

雖然公告中沒有說清楚到底有什麼數據被黑客竊取，不過在他們發送給客戶的支持頁面中卻清清白白地寫明，所有存儲在美國數據中心的客戶數據都已經失竊。

在他們發送給用戶的郵件中寫道：

用戶數據遭到了盜用，包括解密加密數據的能力。

也就是說，黑客不僅偷走了被加密的數據，還可能盜走了解密用的密鑰，所有的加密措施完全失效。

據雷鋒網了解，Onelogin 的主要業務是為企業提供賬號安全服務，資料庫一旦失竊，意味著他們的企業用戶的所有賬號密碼都面臨威脅。相信在看到數據泄露公告時，他們的企業客戶都忍不住跳起來說髒話。

目前，Onelogin 公司已經聯繫相關安全公司和執法部門在緊急處理此事並探討和驗證事件的影響程度。同時發出通告，告知所有客戶重置所有密碼。

賬號管理的矛盾

其實賬號身份統一管理的安全爭議和質疑一直都在。

每個網站都有各自獨立的賬號密碼體系，而且要求使用複雜密碼，這對用戶簡直是種折磨；

多少人面對密碼框抓狂過？

可是賬號統一之後，一旦該賬號被盜，所有全軍覆沒；把所有密碼統一放在密碼管理器里，一旦被盜，也是全軍覆沒。

而且，即使不用密碼管理軟體，同樣會出現問題。2016年移動安全報告顯示，有七成以上用戶在幾乎所有網路賬號都使用同一用戶名與密碼。這又何嘗不是另一種形式的「雞蛋放在一個籃子里」呢？而這也是「撞庫」事件頻發的主要原因。如果無論如何雞蛋都在同一個籃子里，唯一的辦法就是把籃子做得更安全難以攻破。

雖然這次發生數據泄露的是一家美國公司，且並沒有在中國大量開展業務，但相信此次事件依然給國內做類似業務的公司敲了一個警鐘。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！