Os serviços de gestão de passwords baseados na Internet pretendem ser uma ajuda para gerir e guardas os nossos dados de acesso a sites e a outros serviços críticos.
Espera-se que o seu grau de segurança seja elevado e que protejam os utilizadores. Infelizmente não foi isso que aconteceu com o serviço OneLogin, que esta semana anunciou que tinham sido roubados dados de clientes dos seus servidores.
À semelhança de muitos outros serviços, o OneLogin quer garantir aos utilizadores um ambiente em que estes têm acesso às suas palavras-passe de forma segura e que estas são automaticamente preenchidas no browser e noutras aplicações.
O roubo de dados na OneLogin
Com a ideia de garantir a máxima segurança aos utilizadores, têm também de garantir que os seus serviços são seguros. Isso não aconteceu e a empresa revelou no final da semana que os seus serviços tinham sido comprometidos e que foram roubados dados das contas dos utilizadores.
All customers served by our US data center are affected; customer data was compromised, including the ability to decrypt encrypted data
A empresa já comunicou por email aos utilizadores visados, mas é de todo importante que, pelo menos, os restantes utilizadores alterem a sua palavra-passe de acesso.
A importância e o impacto deste ataque
Ao contrário de outros ataques, a outros serviços similares, o que o OneLogin sofreu tem uma importância mais elevada e um impacto muito maior. Isto acontece porque as chaves de cifra dos dados guardados, que estão na posse do próprio OneLogin, foram também roubados. Na prática isto significa que os atacantes podem ter acesso aos dados em claro dos utilizadores e que os podem explorar.
Isto vai obrigar a que não sejam apenas os dados de acesso ao OneLogin tenham de ser mudados, mas também todos os restantes, guardados de forma supostamente segura. Este deverá ser um processo a ser realizado com a máxima urgência, para impedir o acesso a informação sensível ou até dados confidenciais.
Este ataque mostra também que estes serviços estão expostos a problemas e que nunca devemos ter uma confiança cego neles, por poderem ser vítimas de roubo de dados, perdendo a sua aura de segurança impenetrável.
Fonte: OneLogin