Notícias

Se é cliente do OneLogin, é hora de se começar a preocupar

20 Comentários

Os serviços de gestão de passwords baseados na Internet pretendem ser uma ajuda para gerir e guardas os nossos dados de acesso a sites e a outros serviços críticos.

Espera-se que o seu grau de segurança seja elevado e que protejam os utilizadores. Infelizmente não foi isso que aconteceu com o serviço OneLogin, que esta semana anunciou que tinham sido roubados dados de clientes dos seus servidores.

OneLogin

À semelhança de muitos outros serviços, o OneLogin quer garantir aos utilizadores um ambiente em que estes têm acesso às suas palavras-passe de forma segura e que estas são automaticamente preenchidas no browser e noutras aplicações.

O roubo de dados na OneLogin

Com a ideia de garantir a máxima segurança aos utilizadores, têm também de garantir que os seus serviços são seguros. Isso não aconteceu e a empresa revelou no final da semana que os seus serviços tinham sido comprometidos e que foram roubados dados das contas dos utilizadores.

All customers served by our US data center are affected; customer data was compromised, including the ability to decrypt encrypted data

A empresa já comunicou por email aos utilizadores visados, mas é de todo importante que, pelo menos, os restantes utilizadores alterem a sua palavra-passe de acesso.

OneLogin

A importância e o impacto deste ataque

Ao contrário de outros ataques, a outros serviços similares, o que o OneLogin sofreu tem uma importância mais elevada e um impacto muito maior. Isto acontece porque as chaves de cifra dos dados guardados, que estão na posse do próprio OneLogin, foram também roubados. Na prática isto significa que os atacantes podem ter acesso aos dados em claro dos utilizadores e que os podem explorar.

Isto vai obrigar a que não sejam apenas os dados de acesso ao OneLogin tenham de ser mudados, mas também todos os restantes, guardados de forma supostamente segura. Este deverá ser um processo a ser realizado com a máxima urgência, para impedir o acesso a informação sensível ou até dados confidenciais.

Este ataque mostra também que estes serviços estão expostos a problemas e que nunca devemos ter uma confiança cego neles, por poderem ser vítimas de roubo de dados, perdendo a sua aura de segurança impenetrável.

Fonte: OneLogin

PUB
Autor: Pedro Simões
Partilhar:
Tags:
ataque dados OneLogin palavras passe

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Está mais difícil ativar as Opções de programador no Android
Artigo anterior

Está mais difícil ativar as Opções de programador no Android
Microsoft prepara mudança nas apps do Windows 10 Mobile
Próximo artigo

Microsoft prepara mudança nas apps do Windows 10 Mobile
PUB

Comentários

20

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Carlos Rodrigues
    Carlos Rodrigues

    Eu uso um livrinho onde anoto tudo com algumas manhas só do meu conhecimento e que guardo em local recatado.
    Se mo roubarem, pelo menos, eu saberei que aconteceu e quando.
    Em serviços destes ficaria sempre desconfiado.

    Responder
    1. Avatar de José Gaspar
      José Gaspar

      x2

      Responder
    2. Avatar de BioBot
      BioBot

      Tenho 1 ficheiro Excel no Google Drive com todos os users e passwords guardados e organizados, simples e explicito, já que tenho tantas contas de tanta coisa e por vezes varias contas do mesmo serviço, nunca usarei esses serviços “especializados”

      Responder
      1. Avatar de N'uno
        N’uno

        És um alvo interessante para qualquer hacker, portanto. Por outras palavras, pões-te a jeito!

        Responder
        1. Avatar de BioBot
          BioBot

          Que resposta mais impulsiva e infundamentada, previsível… se 1 hacker tiver acesso ao teu email não daria igual? Mudava a pass de qualquer outro site e pronto. Aqui vai dar o mesmo e 1º tem de saber de tal coisa… Até porque as contas Google agora têm vários mecanismos de segurança na autenticação e também notificam.

          Pior é ter centenas de contas em lado nenhum, por vezes serviços que são usados muito raramente. Eu não uso a mesma password em tudo, e por vezes os usernames também variam.

          Responder
      2. Avatar de José Gaspar
        José Gaspar

        Ao menos guardavas o ficheiro Excel num pendrive guardada num sitio seguro!

        Responder
        1. Avatar de Antunes
          Antunes

          Guardar as passw todas na nuvem num ficheiro excel como backup nao tem mal, no entanto esse file tem que estar encriptado por exemplo:
          AES+Serpent+Twofish com SHA512

          O hacker pode tentar anos e anos que nunca vai conseguir nada, claro que isto foi encriptado do teu lado antes de enviar com uma chave tua longa.

          Responder
  2. Avatar de MiguelP
    MiguelP

    lol agora chorem, não foi por falta de aviso.

    Meter os ovos todos no mesmo cesto nunca é o mais seguro.

    Responder
    1. Avatar de R. Amor
      R. Amor

      + 1
      Que situação previsível ..

      é quase como escrever o pin num post-it e colar no cartão multibanco.

      Responder
      1. Avatar de José Gaspar
        José Gaspar

        😀

        Responder
  3. Avatar de Vasco
    Vasco

    Passwords na cloud? Nunca fui nisso e um dos critérios na escolha de um bom password manager deve ser a possibilidade de fazer backup das passwords, mas jamais para a cloud.

    Responder
  4. Avatar de Sara
    Sara

    Keepass, mai nada.

    Responder
    1. Avatar de N'uno
      N’uno

      Se conseguirem aceder ao teu .kbx, podem facilmente lançar um ataque brute force. Mas nos dias de hoje, o mais fácil é instalar um malware na tua máquina que descubra onde tens o dito e capture a password com o que o abres…

      Responder
  5. Avatar de TrasMontano
    TrasMontano

    Como uso Sticky Password, perguntei-lhes se o serviço deles poderia ser afectado. Eis a resposta deles:
    Hi TrasMontano, a bit more info for you: OneLogin is a single-sign-on service. These types of services typically work on the basis that access to users’ decrypted credentials is required on their server in order to work across many sites – for that reason they must be able to decrypt credentials on the server side. So, if an attacker gets access to the servers, he may be able to get to decrypted data.
    On the other hand, Sticky Password encrypts/decrypts your credentials only locally on your device – we use cloud servers only to sync encrypted credentials between your devices. We’re not able, and neither is any attacker, to decrypt your data on the server. The encryption key is derived only on your device from your master password using strongest encryption algorithm available

    Responder
  6. Avatar de Miguel Sousa
    Miguel Sousa

    Em vez de terem passwords de 256 letras, carácteres especiais e símbolos, é muito mais seguro terem um password de 8 letras e 2 números. Desde 2013 que a maioria dos serviços não permite ataques brutos. Por isso, para roubarem as passwords, costumam usar sniffers para encontrar estes serviços de guardar passwords e os programas, muito usados nos telemóveis, onde se guardam as senhas todas e se usam… ignorando que basta roubarem um simples ficheiro de texto e tem acesso aos usernames e passwords do utilizador.

    Responder
  7. Avatar de Luis Silva
    Luis Silva

    Uso o Keepass pelo facto de não guardar nada na cloud, é tudo local, acho que para Gestão de Passwords é dos melhorzitos que por aí anda

    Responder
    1. Avatar de N'uno
      N’uno

      Localmente não estás necessariamente mais seguro…

      Responder
  8. Avatar de censo
    censo

    Confiar em serviços desta natureza para guardar as passwords…confesso que nem sei caracterizar isso. Acho que é simplesmente parvo, para não dizer outra coisa. Eu tenho uma cábula com as minhas passwords, mesmo assim os apontamentos na cábula são codificados a partir de mnemónicas que só eu sei. Ou seja…quem for ver as minhas cábulas, pode vê-las…mas mesmo assim não vai perceber nada do que lá está.

    Responder
  9. Avatar de Nuno
    Nuno

    Não é surpresa que também estes tenham sido atacados, surpresa sim é o que conseguiram. E agora todos os que subscreveram o serviço deles vão pedir indemnização pela falha, e agora é começa declínio.. Não vejo grande futuro a esta empresa

    Responder
  10. Avatar de busyip
    busyip

    Como conseguem criar serviços deste tipo para proteger o que nunca foi seguro? E não o será tão cedo. Pior é quem utiliza estes serviços. A segurança na web não está pronta e muito longe do seu auge. Mas não é so o One Login.

    Com um pouco de eng. social + o melhor amigo do Hacker, o google = easy pizi lemon squizy

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.