El gestor de contraseñas y a la vez proveedor de inicio de sesión único OneLogin, ha sufrido una intromisión en sus sistemas esta semana que, según explica su responsable de seguridad Álvaro Hoyos, comprometió los datos de los usuarios.
El acceso no autorizado, ocurrió en los servidores que gestionan los datos para clientes en Estados Unidos. Tan pronto como detectaron la intromisión, la empresa logró bloquear el acceso y se encuentra trabajando conjuntamente con oficiales de la ley para investigar a los responsables.
En un principio, el comunicado oficial de OneLogin había omitido que en el incidente se sustrajeron datos sensibles de los clientes. Sin embargo, la empresa ha comunicado posteriormente que efectivamente los hackers accedieron a la base de datos de usuarios que contiene datos de los usuarios. Esta base esta cifrada, pero lo curioso es que los de OneLogin aseguran que hay grandes sospechas de que los hackers también obtuvieron la habilidad para desencriptar los datos.
El responsable de OneLogin se negó a ofrecer detalles sobre el tipo de encriptación utilizada. Este dato determinaría en todo caso, cuan riesgoso es que los hackers logren desencriptar los datos sustraídos. Ahora bien, por las declaraciones de OneLogin todo apunta que la encriptación utilizada era débil.
Para entender un poco la magnitud de este hackeo, hay que conocer primero que hace OneLogin y quienes son sus clientes. OneLogin ofrece un gestor de contraseñas a los usuarios, como 1Password. Además, operan como un proveedor de inicio de sesión único para otros servicios a nivel corporativo como Amazon Web Services, Microsoft Office 365, LinkedIn, Slack, Twitter, y Google services.
ARM, Dun & Bradstreet, The Carlyle Group, Conde Nast, Dropbox y otras 2,000 empresas utilizan los servicios de OneLogin para acceder a los diferentes servicios corporativos (que mencioné anteriormente) con una sola cuenta. Los afectados a groso modo, serían principalmente los empleados de estas empresas; los usuarios comunes, por otro lado, no deberíamos vernos afectados, salvo que ocurriera un caso similar al de LinkedIn donde el uno de los administradores sufrió un hackeo y luego lograron acceder a las bases de la red social.
Este sería el segundo gran incidente de seguridad que sufren en OneLogin. La primera vez que sufrieron una intrusión no autorizada negaron que los datos de usuarios fueron comprometidos y aseguraron haber contenido el ataque. En esta ocasión el caso es evidentemente de mayor seriedad. OneLogin ha notificado a las empresas afectadas que cambien claves de acceso, claves únicas de encriptación y notifiquen a sus trabajadores.
