O pior pesadelo de segurança de quem se preocupa com suas senhas aconteceu: um gerenciador de senhas foi comprometido e milhões de usuários foram afetados.
Os administradores do OneLogin admitiram que seus servidores foram invadidos e que os hackers obtiveram uma forma de decriptar informações e senhas que estavam protegidas no serviço.
“OneLogin acredita que todos os nossos consumidores atendidos pelo nosso data center dos Estados Unidos foram afetados e dados de usuários foram potencialmente comprometidos”, revela um email disparado pela empresa para seus clientes”. Uma postagem no blog oficial confirma a brecha de segurança, mas não oferece detalhes sobre como a invasão aconteceu nem o número total de vítimas do ataque.
A empresa garante que está investigando o caso junto às autoridades competentes e recomenda que todos os seus usuários alterem imediatamente suas senhas, gerem novas chaves de API para seus serviços e criem novos tokens de autenticação OAuth, assim como refaçam certificados de segurança. Um dos serviços atingidos pela invasão, o Secure Notes, permitia que administradores de sistemas e outros profissionais criassem anotações na nuvem de informações sensíveis, que supostamente estariam protegidas por encriptação.
O serviço de autenticação do OneLogin, que permitia o uso de uma única senha centralizada para diversas aplicações web, atendia clientes de alto nível, como a Amazon, LinkedIn, Slack e Twitter.