Paume faciale : Après avoir compromis LastPass, des pirates inconnus ont pu violer les serveurs d’autres services proposés par la société mère de LastPass, GoTo. Un nouveau message du PDG explique la véritable ampleur de l’incident de sécurité mais n’offre aucune solution réelle à ses clients.
GoTo, la société anciennement connue sous le nom de LogMeIn qui a acquis LastPass en 2021, a publié une nouvelle déclaration concernant la faille de sécurité qu’elle a subie en août 2022. Selon le PDG de GoTo, Paddy Srinivasan, après avoir violé les serveurs LasPass, les cybercriminels inconnus ont pu continuer compromettre l’ensemble du portefeuille de services et de produits de GoTo.
L’enquête en cours sur la violation de LastPass a déterminé « qu’un acteur malveillant a exfiltré des sauvegardes cryptées d’un service de stockage cloud tiers ». Srinivasan a écrit. Le service cloud susmentionné hébergeait des données pour le produit GoTo suivant : l’outil de communication d’entreprise Central, le service de réunion en ligne join.me, le service VPN Hamachi et l’outil d’accès à distance RemotelyAnywhere.
De plus, les hackers black hat ont pu obtenir une clé de cryptage avec laquelle ils auraient pu décrypter « une partie » des sauvegardes cryptées volées. Les données concernées, a déclaré Srinivasan, varient selon le produit et « peuvent inclure » des noms d’utilisateur de compte, des mots de passe salés et hachés, une partie des paramètres d’authentification multifacteur (MFA), ainsi que certains paramètres de produit et des informations de licence.
Le PDG de GoTo a déclaré que la société ne stocke ni ne collecte les informations complètes sur les cartes de crédit, les coordonnées bancaires ou les informations personnelles des utilisateurs finaux telles que les dates de naissance, les adresses personnelles ou les numéros de sécurité sociale sur ses serveurs. LastPass, d’autre part, collectait et stockait « les noms de sociétés, les noms d’utilisateurs finaux, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP » de ses clients avant la violation.
Actuellement, GoTo ne fournit que des « recommandations » aux utilisateurs concernés. La société contacte toujours chaque client directement pour « fournir des informations supplémentaires et leur recommander des mesures concrètes à prendre pour sécuriser davantage leurs comptes ».
Tous les mots de passe des comptes ont été salés et hachés conformément aux meilleures pratiques, a déclaré GoTo. Par prudence, GoTo va également « réinitialiser les mots de passe des utilisateurs concernés et/ou réautoriser les paramètres MFA le cas échéant ». Les comptes d’utilisateurs seront migrés vers une plate-forme de gestion des identités améliorée, afin de fournir une sécurité supplémentaire avec des mécanismes d’authentification plus robustes.
GoTo compte 800 000 utilisateurs professionnels et privés, mais la société refuse toujours de divulguer combien d’entre eux ont été touchés par la violation de LastPass.
