È un anno difficile per i servizi online di gestione di password e identità. Dopo i rischi corsi dagli utenti di Lastpass, ha fatto notizia il fatto ben più grave dell’hackeraggio in cui è incappata Onelogin, società di San Francisco che sviluppa sistemi per facilitare l’accesso enterprise a siti e servizi sul Web, gestendo in maniera centralizzata password e account. L’azienda ha comunicato di aver subito una violazione nella propria regione Us, con la fuoriuscita di dati sensibili. Sono state quindi compromesse le informazioni dei clienti e i cybercriminali, secondo quanto ricostruito da Motherboard, sarebbero riusciti anche a decifrare le risorse protette con crittografia. Un pericolo molto grande per tutti gli utilizzatori di Onelogin. Con il passare delle ore sono emersi alcuni dettagli sulle modalità di attacco ai server dell’azienda.
La quale ha consigliato ai propri clienti di intraprendere alcune azioni per ridurre i rischi, anche se il danno sembra ormai essere fatto. Gli hacker hanno infatti ottenuto l’accesso a un database contenente dati degli utenti, applicazioni e varie tipologie di chiavi. “Crittografiamo un certo numero di informazioni ‘a riposo’, ma non siamo ancora in grado di escludere la possibilità che gli attaccanti siano riusciti a decifrare questi dati”.
La dichiarazione di Onelogin sembra quindi escludere quanto scritto da Motherboard, che dà per certo lo sblocco delle informazioni crittografate. Nel frattempo però il gestore ha bloccato l’accesso non autorizzato, è entrato in contatto con le forze dell’ordine e, grazie alla collaborazione con una società terza, è riuscita a fare luce sulle modalità di attacco.
I pirati informatici sono riusciti a ottenere l’accesso a un set di chiavi Aws (Amazon Web Services) e, tramite queste, violare le Api del provider cloud da un host intermedio, appoggiandosi a un fornitore di servizi più piccolo negli Stati Uniti. L’attacco è scattato il 31 maggio alle 2 di notte, ora del Pacifico.
Grazie alle Api, l’hacker ha potuto creare diverse istanza, interne all’infrastruttura, per esplorare il territorio. Lo staff di Onelogin si è accorto dell’insolita attività del database alle 9 del mattino e, “in pochi minuti”, l’istanza malevola è stata chiusa, così come le chiavi di Aws utilizzare per crearla. Per estrema sicurezza, agli utenti è stato chiesto di generare nuove chiavi e token Oauth, oltre a creare nuovi certificati di sicurezza e credenziali.