Einen Online-Passwortmanager beziehungsweise dessen Daten sind ein lohnendes Ziel für Hacker - schließlich lagern dort wohlmöglich Millionen von validen Zugriffsdaten, die die Kunden damit verwalten. Nun wurde der Dienstleister OneLogin Opfer eines Hackerangriffs.
Die Täter hatten rund sieben Stunden lang Zugriff auf die Daten, wobei OneLogin nicht ausschließen kann, dass die Angreifer die Daten entschlüsseln können. Das Unternehmen hat in einer E-Mail an seine Kunden mitgeteilt, dass das die Server in einem Rechenzentrum in den USA angegriffen wurden. OneLogin nutzt Amazon-Server. Demnach hatten die Hacker einen Schlüssel von Amazon Web Services erlangt und genutzt, um über einen anderen Host auf die AWS API zugegriffen, so OneLogin.
Es ist unbekannt, wieviele Nutzer betroffen wurden und ob tatsächlich umverschlüsselte Daten in den Datenbanktabellen gespeichert waren.
Nun haben die Anwender sehr viel Arbeit vor sich. Sie müssen ihre Passwörter ändern und je nach Anwendungszweck auch neue API-Schlüssel und neue OAuth-Tokens und Sicherheitszertifikate erstellen. Was ebenfalls in Gefahr ist, sind Daten die als sogenannte Secure Notes gespeichert wurden.
OneLogin ist in der Branche kein kleines Licht - die Dienste werden unter anderen an große Unternehmen wie ARM, Dun & Breadstreet, The Carlyle Group, Conde Nast und anderen Firmen verwendet.
Für OneLogin ist es schon der zweite große Hackerangriff. Im August 2016 gab es ebenfalls einen unerlaubten Zugriff. Damals sollen jedoch keine Daten abgeflossen sein. Auch bei Passwortmanagern wie Lastpass gab es in der Vergangenheit Angriffe.
Diskutiere mit!
Hier kannst du den Artikel "Passwortmanager OneLogin wurde gehackt" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.
Leute, die all ihre Passwörter bei einem Internetdienstleister "sichern" ist nicht mehr zu helfen. Nix mit "Bei uns sind Ihre Daten 100% sicher".
Ich würde noch einen Schritt weiter gehen. Muß wirklich alles „on the go“ machbar sein? Eine handgeschriebene Liste mit den PINs im persönlichen Schreibtisch nutzen (statt einer Datei auf dem Computer) schützt sowohl vor Hackern wie der NSA. Der Artikel zeigt aber noch ein anderes Risiko: Firma „A“ mag zwar meine Daten gut sichern. Was aber, wenn die einen Subunternehmer (hier Amazon) beauftragen?