تعرض تطبيق مدير كلمات المرور OneLogin للاختراق

أعلنت الشركة المسؤولة عن تطبيق إدارة كلمات المرور ومزوّد أنظمة تسجيل الدخول (OneLogin) في بيان رسمي لها عن تمكّن أحد القراصنة من اقتحام أنظمتها لعمليات الولايات المتحدة الأمريكية وسرقة معلومات المستخدمين الحساسة، وتقدّم الشركة الواقع مقرّها في سان فرانسيسكو خدمات تسجيل الدخول وإدارة الهوية لأكثر من / 2000 / شركة في (44) بلداً حول العام.

ورغم أن تفاصيل التسلل وأثره ضئيلة إلا أن “ألفارو هويس” المسؤول عن جهود إدارة المخاطر والأمن والامتثال لدى شركة (OneLogin) قد صرّح في تدوينة نشرها إلى أن القراصنة كانوا قادرين على الوصول إلى جداول قاعدة البيانات التي تحتوي على معلومات حول مستخدمي وتطبيقات الشركة إلى جانب أنواع مختلفة من المفاتيح.

وقال هويس في تدوينته “بينما نقوم ضمن الشركة بتشفير بعض البيانات الحساسة فإنه في الوقت الحالي لا يمكننا استبعاد احتمالية التهديد المتمثلة بأن الفاعل قد تمكّن من الحصول على قدرة فكّ تشفير البيانات”.

وكان الهجوم على الشركة قد بدأ بتاريخ 31 مايو/أيار الساعة 2 صباحاً بتوقيت المحيط الهادي، وهو الوقت الذي تمكّن فيه القراصنة من الحصول على إمكانية الوصول إلى مجموعة من المفاتيح (خدمات أمازون للويب) التي استخدموها للوصول إلى الدوال البرمجية لخدمات أمازون للويب AWS من مضيف وسيط عبر مزوّد خدمة آخر أصغر في الولايات المتحدة.

وأضاف المسؤول عن جهود إدارة المخاطر والأمن والامتثال لدى شركة (OneLogin) : لقد تمكّن المخترق من خلال الدوال البرمجية لخدمات أمازون للويب من إنشاء العديد من الحالات في بنيتنا التحتية للقيام بالاستطلاع وتمكّن فريق الشركة من اكتشاف تصرّفات غير معتادة لقاعدة البيانات بعد سبع ساعات، وأنهى الهجوم في غضون دقائق حوالي الساعة التاسعة صباحاً بتوقيت المحيط الهادي”.

وتعمل الشركة حالياً مع خبراء أمن مستقلين من طرف ثالث للتحقيق في التسلل، وقد أبلغت الشركة العملاء مع تعليمات حول ما يجب القيام به بعد ذلك، وتحدث هويوس “نحن نريد لعملائنا أن يعرفوا أن الثقة التي وضعوها فينا هو أمر بالغ الأهمية”.

وكانت الشركة قد عانت في شهر أغسطس/آب عام 2016 من خرق للبيانات أكسب القراصنة وصولاً غير مصرّح به إلى واحد من أنظمة الشركة المستقلة، والذي كان يستعمل لتخزين سجلات الدخول وتحليلها.

 

 

 

اترك تعليق

كن أوّل من يعلّق

نبّهني عن
avatar
‫wpDiscuz