SIKKERHET

Passord-tjeneste med millioner av brukere hacket. Eksperter kaller det hele en «pinlig» affære 

Illustrasjonsfoto.
Illustrasjonsfoto. Bilde: NTB Scanpix
2. juni 2017 - 13:11

Passordsiden OneLogin har bli komprimittert. Millioner av passord kan ha havnet på avveie. Det skriver BBC.

Alle kundene som har hatt passorddata lagret hos det amerikanske selskapet skal være rammet. Selskapet opplyser til The Register at de som har fått tilgang til de krypterte dataene også skal ha fått adgang til å dekryptere passorddataene via krypteringsalgoritmen. 

Millioner av brukere

– Vi jobber nå sammen med et uavhengig sikkerhetsfirma for å finne ut av hvordan den uautoriserte adgangen til tjenestene har avstedkommet. Den uautoriserte tilgangen er nå sperret, og vi har rapportert sikkerhetsbruddet til myndighetene, sier sikkerhetsdirektør Alvaro Hoyos til eget nettsted.

Den engelske nyhetsformidleren melder at sikkerhetseksperter kaller bristen for «pinlig», og tillitsbruddet viser at alle store IT-selskaper kan være svært sårbare. 

Ifølge BBC hadde selskapet i 2012 rundt 700 proffkunder og over 12 millioner brukere.

Amazon Web Services, Microsoft Office 365, Slack, Cisco Webex, Google Analytics og Linkedin er bare et fåtall av tjenestene som har full integrasjon mot passordtjenesten. 

Tvinger brukerne til å tilbakestille passord

– OneLogin jobber nå med å finne ut av hvordan vi skal forhindre at noe lignende skjer igjen i fremtiden, fortsetter Hoyos. 

Det amerikanske passordselskapet tvinger nå alle brukerne sine til å tilbakestille passordet til tjenesten. De bygger også nye sikkerhetssertifikater for samarbeidende tjenesteleverandører. 

Bill Buchanan er professor i sikkerhet og skyteknologi ved Edinburgh Napier universitetet i Skottland.

Løper en risiko når man bruker disse tjenestene

Han forteller til BBC at det er svært viktig å forstå at brukere av disse tjenestene løper en risiko når de er villige til å lagre passordene sine hos en skyleverandør.

– Det er nesten umulig å dekryptere en sterk krypteringsalgoritme, men hvis nøkkelen først er på avveie, er det veldig enkelt, sier han.

digi.no skrev tidligere i år at forskere ved TeamSIK-gruppen til tyske Fraunhofer Institute for Secure Information Technology studerte sikkerheten til de ni mest populære Android-appene for passordadministrasjon.

– De generelle resultatene var ekstremt bekymringsfulle og avslørte at passordadministrasjonsappene, til tross for påstandene, ikke tilbød tilstrekkelige beskyttelsesmekanismer for den lagrede innloggingsinformasjonen. I stedet misbruker de brukernes tillit og utsetter dem for stor risiko, hetet det i en oppsummering av prosjektet.

Fant en rekke alvorlige sårbarheter

MyPasswords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY Password Manager, Dashlane Password Manager, Hide Pictures Keep Safe Vault, Avast Passwords og 1Password var tjenestene som da ble undersøkt.

Forskerne fant en rekke alvorlige sårbarheter som skyldtes implementeringsfeil i den grunnleggende funksjonaliteten.

Så sent som i mars meldte digi.no at det ble avdekket flere alvorlige sårbarheter i LastPass.

Da viste det seg at enkel scriptkode på en nettside du besøkte kunne fiske ut lagrede brukernavn og passord. Som om det ikke var ille nok var det også mulig å kjøre binærkode på ofrenes datamaskiner.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.