Quando pensávamos que o hack do LastPass de novembro havia ficado para trás, novas informações surgiram sobre a extensão da violação. A empresa controladora do LastPass, GoTo (anteriormente LogMeIn), confirmou que os agentes da violação de segurança conseguiram roubar os backups criptografados dos clientes durante a recente violação de dados de seus sistemas.
O CEO do LastPass, Karim Toubba, confirmou a violação pela primeira vez em novembro, afirmando que uma “parte não autorizada” obteve acesso a algumas informações do cliente armazenadas em um serviço de nuvem de terceiros. Os invasores supostamente usaram informações roubadas de uma violação anterior dos sistemas LastPass em agosto para comprometer ainda mais os dados compartilhados na nuvem das empresas.
Impacto nos produtos corporativos da GoTo
A extensão da violação foi muito maior do que se pensava inicialmente. GoTo agora diz que a violação de segurança afetou vários de seus produtos, incluindo Central, Join.me, Hamachi e Remotely Anywhere. A empresa também confirmou que os invasores exfiltraram os backups criptografados dos clientes desses serviços, bem como a chave de criptografia da empresa.
O CEO da GoTo, Paddy Srinivasan, disse que as informações roubadas pelos invasores variam de acordo com o produto, mas podem incluir nomes de usuários de contas, senhas com sal e hash, uma parte das configurações de autenticação multifator (MFA), juntamente com algumas configurações de produtos e informações de licenciamento. No entanto, os invasores não pegaram os bancos de dados criptografados do GoToMyPC e do Rescue, mas as configurações de MFA de um pequeno subconjunto de clientes foram afetadas.
Em resposta a essa violação, a GoTo está entrando em contato diretamente com os clientes afetados para fornecer informações e suporte adicionais. Os usuários terão que alterar suas senhas e reautorizar o MFA. A GoTo também está migrando as contas afetadas para uma plataforma de gerenciamento de identidade diferente com autenticação mais robusta e opções de segurança baseadas em login. A empresa garante aos clientes que não armazena seus dados bancários e de cartão de crédito completos e não coleta PII, como data de nascimento, endereço e números de CPF.