De Amerikaanse aanbieder van identiteitsmanagement voor cloudgebaseerde apps OneLogin heeft klanten gewaarschuwd voor een datalek, maar de impact is veel groter dan het bedrijf op de publieke pagina laat weten, zo ontdekten lezers van Reddit.

In een blogposting meldt het bedrijf dat het ongeautoriseerde toegang tot OneLogin-data in de dataregio voor de VS heeft ontdekt. Veel details worden in de blogposting niet duidelijk gemaakt. Op de supportpagina zijn echter meer details te vinden. Daarin wordt gesteld dat alle klanten die van het Amerikaanse datacentrum gebruikmaken zijn getroffen en er klantgegevens gecompromitteerd zijn geraakt, waaronder de mogelijkheid om versleutelde data te ontsleutelen. Deze zin ontbreekt echter in de publieke aankondiging. De supportpagina is namelijk alleen zichtbaar voor ingelogde klanten.

Vanwege de hack moeten klanten een lijst van verplichte acties volgen, zoals het genereren van nieuwe certificaten voor apps, het genereren van nieuwe api-wachtwoorden en OAuth-tokens, het genereren van nieuwe directory tokens voor Active Directory Connectors en LDAP Directory Connectors, het updaten van api- of OAuth-wachtwoorden die voor diensten van derde partijen worden gebruikt, het genereren van nieuwe Desktop SSO-tokens, het recyclen van geheimen die in de Secure Notes van OneLogin waren opgeslagen, het updaten van beheerderswachtwoorden en als laatste moeten eindgebruikers van de getroffen klanten hun wachtwoorden wijzigen en is het nodig om RADIUS-geheimen te veranderen. Hoe de aanvallers konden binnenkomen wordt onderzocht.

Vorig jaar kwam OneLogin ook al in het nieuws vanwege een datalek. Toen bleek een aanvaller beveiligde notities van klanten te hebben bekeken. De dienst beschikt over een feature genaamd Secure Notes, waarbij gebruikers hun gevoelige informatie versleuteld in een systeem van het bedrijf kunnen opslaan. Door een fout in de software waren de notities in het loggingsysteem zichtbaar voordat ze werden versleuteld en in de database opgeslagen. Daarnaast bleek dat de aanvaller toegang tot het loggingsysteem had gekregen door het wachtwoord van een OneLogin-medewerker te achterhalen.