GoTo, firma zajmująca się zdalną współpracą i oprogramowaniem IT, która jest właścicielem LastPass, potwierdziła to z magazynami haseł LastPassdane klientów zostały przejęte przez osoby atakujące podczas naruszenia bezpieczeństwa w listopadzie 2022 r. (przez TechCrunch).
Problem dotyczył wielu produktów GoTo dla przedsiębiorstw, w tym Central, Pro, join.me, Hamachi i RemotelyAnywhere. Dyrektor generalny GoTo, Paddy Srinivasan, pisze, że haker „wyeksfiltrował zaszyfrowane kopie zapasowe z usługi przechowywania w chmurze innej firmy” i zdobył klucz szyfrujący dla części z nich — prawie dwa miesiące temu. Pobierane informacje różnią się w zależności od produktu, ale „mogą obejmować nazwy użytkowników kont, hasła solone i zaszyfrowane, część ustawień Multi-Factor Authentication (MFA), a także niektóre ustawienia produktów i informacje licencyjne”.
Zaszyfrowane bazy danych dla bardziej znanego oprogramowania zdalnego komputera GoToMyPC i Rescue nie zostały przejęte przez atakujących; jednak „wpłynęło to na ustawienia MFA niewielkiej części ich klientów”.
GoTo najwyraźniej kontaktuje się bezpośrednio z klientami, których dotyczy problem, w celu dostarczenia dodatkowych informacji, a także wsparcia w zakresie działań, które należy podjąć. Hasła do ich kont zostaną zresetowane „z powodu dużej ostrożności”, a MFA również zostanie ponownie autoryzowany. Srinivasan napisał również, że konta, których dotyczy problem, zostaną przeniesione do innej platformy zarządzania tożsamością w celu dodatkowego zabezpieczenia, z „bardziej niezawodnymi opcjami uwierzytelniania i bezpieczeństwa opartymi na logowaniu”.
Nasz pierwszy powiew naruszenia miał miejsce w sierpniu, kiedy LastPass powiadomił użytkowników, że nieautoryzowana osoba naruszyła konto programisty. Informacje zebrane podczas tego ataku najwyraźniej zostały wykorzystane w listopadzie, kiedy hakerom udało się zdobyć skarbce klientów — fakt, który został ogłoszony publicznie dopiero późno w czwartek, 22 grudnia, kiedy wiele osób przygotowywało się do wakacyjnej przerwy.
Eksperci ds. cyberbezpieczeństwa rozdzielili się Odpowiedź LastPass na wyciekzarzucając firmie brak przejrzystości co do powagi sytuacji i niepowstrzymania naruszenia.
Teraz Srinivasan ma do czynienia z ciężkimi opadami, które tylko się pogarszają. Ale dyrektor generalny zwraca uwagę klientom, że GoTo nie przechowuje ich pełnych danych kart kredytowych i bankowych oraz nie gromadzi danych osobowych, takich jak data urodzenia, adres i numery ubezpieczenia społecznego. LastPass również spadł osobny incydent w 2021 r., kiedy klienci byli atakowani ciągłymi próbami nieautoryzowanego logowania.