A GoTo, empresa de software de TI e colaboração remota proprietária do LastPass, confirmou que, juntamente com os cofres de senhas do LastPass, também teve dados de clientes roubados por invasores durante uma violação de segurança em novembro de 2022 (via TechCrunch).
Muitos dos produtos corporativos da GoTo foram afetados, incluindo Central, Pro, join.me, Hamachi e RemotelyAnywhere. O CEO da GoTo, Paddy Srinivasan, escreve que um hacker “exfiltrou backups criptografados de um serviço de armazenamento em nuvem de terceiros” e adquiriu a chave de criptografia para uma parte deles – quase dois meses atrás. As informações coletadas variam de acordo com o produto, mas “podem incluir nomes de usuários de contas, senhas com salt e hash, uma parte das configurações de autenticação multifator (MFA), bem como algumas configurações de produtos e informações de licenciamento”.
Os bancos de dados criptografados para o software de computador remoto GoToMyPC mais conhecido e o Rescue não foram levados pelos invasores; no entanto, “as configurações de MFA de um pequeno subconjunto de seus clientes foram afetadas”.
Aparentemente, o GoTo está entrando em contato diretamente com os clientes afetados para fornecer informações adicionais, bem como suporte para as ações a serem tomadas. As senhas de suas contas serão redefinidas “com muita cautela” e o MFA também será reautorizado. Srinivasan também escreveu que as contas afetadas serão migradas para uma plataforma de gerenciamento de identidade diferente para segurança adicional, uma com “autenticação mais robusta e opções de segurança baseadas em login”.
Nosso primeiro cheiro da violação foi em agosto, quando o LastPass notificou os usuários de que uma parte não autorizada comprometeu uma conta de desenvolvedor. As informações coletadas durante o ataque aparentemente foram usadas em novembro, quando os hackers conseguiram obter os cofres dos clientes – fato que só foi anunciado publicamente no final da quinta-feira, 22 de dezembro, quando muitas pessoas se preparavam para tirar férias.
Especialistas em segurança cibernética destruíram a resposta do LastPass ao vazamento, acusando a empresa de não ser transparente sobre a gravidade da situação e de não admitir que falhou em conter a violação.
Agora, Srinivasan está lidando com uma forte precipitação que só está piorando. Mas o CEO está notando aos clientes que o GoTo não armazena seus dados bancários e de cartão de crédito completos e não coleta PII, como data de nascimento, endereço e números de CPF. O LastPass também minimizou um incidente separado em 2021, em que os clientes foram bombardeados por constantes tentativas de login não autorizadas.