標題:密碼管理服務OneLogin遭駭,用戶金鑰外洩
摘要:
OneLogin證實駭客已存取了內含用戶、程式與各種形式之金鑰的資料庫表格,即使OneLogin加密了特定機密資料,但仍無法排除駭客具備解密這些資料的能力。
根據初步調查,駭客是先取得了AWS的金鑰,然後利用這些金鑰自另一美國的小型中介代管業者存取相關的AWS API,駭客利用此一AWS API於OneLogin的基礎架構中建立了數個實例以進行勘察,並於本周三(5/31)發動攻擊。OneLogin在駭客展開行動的7個小時後發現異樣,立即關閉了這些實例並撤銷駭客所使用的AWS金鑰。
另一密碼管理服務LastPass也曾於2015年遭到駭客入侵,這些服務儲存了使用者的所有密碼,很容易成為駭客覬覦的對象,然而,這些用來協助使用者保障身分安全的服務卻反遭駭客入侵仍然有些諷刺,理應採取更嚴謹的安全防護機制才是。
引用來源:
http://www.ithome.com.tw/news/114636