缺乏保护的OAuth代币的泛滥

云管理服务和集成的隐藏成本

帮助企业跨云服务管理用户或数据的公司数量呈爆炸式增长。一家使用SalesForce、谷歌G-Suite、Github和其他数十种此类服务的公司在为用户提供服务、帮助他们跨服务登录、撤销他们的访问权限、跟踪他们在不必要的地方支付了什么费用、收集数据到仪表盘等等方面面临着真正的挑战。10bet娱乐71966 澳门永利

在玛丽·米克尔刚刚发布的2017年互联网趋势报告中,它显示企业平均使用约1000种云服务,其中91种是出于营销目的。

像这样的公司ComputeNextVendorHawkOneLoginLogrrKilpfolioOkta,还有更多的公司正在解决云服务扩散问题的不同方面。为了实现他们的目标,他们必须代表用户或管理员行事。在实践中,这意味着它们会获得OAuth令牌或API令牌,这类似于要使用的服务的虚拟用户名和密码。这些令牌通常为一个帐户提供完整的读和写权限。

这就引出了一个问题:这些OAuth令牌是如何存储的?他们是如何被保护的?如果有人访问了存储这些凭证的系统,会发生什么?

OneLogin在宣布他们的服务最近被攻破时,无意中提供了这个问题的答案,这是他们10个月内第二次被攻破。这个漏洞让攻击者可以访问OneLogin客户的未加密凭据,比如Conde Nast、Dun and Bradstreet和ARM。

这就引出了一个问题:这些OAuth令牌是如何存储的?

在他们的宣布被入侵的博客帖子OneLogin说,“我们在加密某些敏感数据处于静止状态,目前我们不能排除威胁者也获得了解密数据的能力的可能性。”随后,他们给客户发了一封电子邮件,称“所有接受我们美国数据中心服务的客户都受到了影响;客户数据被盗用,包括解密加密数据的能力。

通常,当人们说数据是“静止”加密的,这是数据存在的一种委婉说法透明的加密与磁盘加密或透明数据库加密。

这种类型的加密可以防止物理盗窃,但不能防止数字盗窃. 当笔记本电脑被盗或有人从服务器中取出硬盘时,透明的加密是至关重要的。但是,如果攻击者获得对正在运行的服务器的访问权限,加密对他们来说也是透明的。

如果我们认为OneLogin超越了基本的透明加密,那么他们的声明仍然表明他们在服务器上也有密钥(否则攻击者就不会访问未加密的数据)。这就好比把抽屉锁上,然后把钥匙放在桌子上。

由于这个漏洞,客户需要更改他们的密码(管理员和所有用户),为他们的服务生成新的API密钥,并创建新的OAuth令牌——如果他们胆敢再次共享这些。

这就好比把抽屉锁上,然后把钥匙放在桌子上。

OneLogin并不孤单。在我们研究的数十个集成服务中,没有一个声称使用端到端加密或零信任机制来保护这些令牌。

客户应该要求对他们最敏感的数据进行更强有力的保护,他们应该要求保留对这些数据的控制权,包括用来解密这些数据的密钥。IronCore可以帮助云供应商保护OAuth令牌等敏感数据,并为客户提供零信任的服务,使用端到端加密来控制客户数据,而不会丢失功能。

现在是时候让云发展起来,使用更健壮的安全模型,包括强加密,这样像这样的入侵就不会造成未加密的敏感数据丢失。

咸的散列

关于构建安全的提示、技巧、指针和透视图…

多亏了鲍勃墙麦迪逊Soucie

作者

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。提倡隐私和安全。首席执行官IronCore实验室。

咸的散列

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

作者

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。提倡隐私和安全。首席执行官IronCore实验室。

咸的散列

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

媒介是一个开放的平台,1.7亿读者可以在这个平台上发现有见地的动态思维。在这里,专家和未被发现的声音一样潜入任何主题的核心,并带来新的想法表面。了解更多

关注与你有关的作家、出版物和主题,你会在你的主页和收件箱中看到它们。探索

如果你有故事要讲,有知识要分享,或者有观点要表达,欢迎回家。在任何主题上发表你的想法都很简单和自由。写在媒介

获取媒体应用程序

有一个“在App Store上下载”的按钮,点击它就会引导你进入iOS App Store
一个按钮,上面写着“获取它,谷歌播放”,如果点击它将导致你到谷歌播放商店