Les données des utilisateurs OneLogin subtilisées par des pirates
Publié par David Feugey le | Mis à jour le
La base de données de OneLogin a été compromise. Et avec elle les données de ses clients. Un piratage qui pourrait être fatal à la société.
OneLogin confirme que les données de ses clients ont été subtilisées par des pirates. OneLogin est une société californienne proposant des solutions d'authentification unifiée, permettant de rassembler tous les mots de passe dans un unique référentiel.
Les bases de données de la société, stockées sur AWS, ont été subtilisées par des pirates. « L'auteur de l'attaque a pu accéder aux tables de bases de données qui contiennent des informations sur les utilisateurs, les applications et les différents types de clés. Bien que nous chiffrons certaines données sensibles, nous ne pouvons pas exclure la possibilité que le pirate ait également obtenu la possibilité de décrypter les données, » explique Alvaro Hoyos, Chief Information Security Officer de la société.
Le mail envoyé aux clients est bien plus direct : « Tous les clients desservis par notre centre de données américain sont affectés. Les données des clients ont été compromises, y compris la possibilité de décrypter les données. »
Impacts en cascade
Il est incroyable que des informations aussi sensibles aient été stockées sur AWS. Et que la clé permettant de décrypter les données soit entre les mains de OneLogin. La logique voudrait que seul le client possède cette clé.
OneLogin compte parmi ses clients 2000 entreprises. Mais aussi 300 éditeurs de logiciels et plus de 70 fournisseurs de solutions SaaS. Dans la pratique, de nombreuses personnes pourraient être touchées par ce piratage des données. Si la société a fait preuve de transparence, il n'est pas certain que les éditeurs employant ses solutions en fassent de même.
À lire aussi :
Windows 10 Entreprise émet beaucoup de données de télémétrie
Windows 7 est l'OS Microsoft qui a le plus souffert de WannaCry
Une faille zero day repérée dans l'antivirus de Microsoft