Posté le janvier 25, 2023 à 7:54
DES HACKERS ONT VOLÉ LES SAUVEGARDES CRYPTÉES DES CLIENTS DE LASTPASS, SELON LA SOCIÉTÉ MÈRE GOTO
La société mère d’un gestionnaire de mots de passe populaire, LastPass, connue sous le nom de GoTo (anciennement LogMein), a récemment publié de nouveaux détails sur la récente violation des systèmes de LastPass. Selon la société, la violation — confirmée par LastPass le 30 novembre 2022 — a entraîné le vol des sauvegardes des clients. Toutefois, la société mère a également confirmé que les données volées étaient cryptées.
Le piratage des services partagés GoTo/LastPass
Lorsqu’il a confirmé la violation en novembre, le PDG de LastPass, Karim Toubba, a révélé qu’une partie non autorisée avait réussi à accéder à certaines des données des clients stockées dans un service cloud tiers. Ce service était partagé par GoTo et LastPass au moment de la violation.
Les hackers auraient utilisé des informations volées lors d’une violation encore plus ancienne, survenue en août 2022, pour accéder aux données partagées du cloud. Au moment où LastPass a révélé cette information, GoTo a simplement déclaré qu’elle enquêtait sur cette affaire sans révéler de détails. Elle a cependant partagé qu’elle avait engagé une société de sécurité de premier plan, Mandiant, et que les forces de l’ordre avaient été alertées de l’incident.
À part cela, tout ce que la société a pu dire à l’époque, c’est qu’elle avait détecté une activité inhabituelle dans l’environnement de développement et le service de stockage en nuage tiers. Tout en sachant que les produits et services étaient affectés, la société a choisi de les maintenir pleinement fonctionnels. Enfin, elle a ajouté à l’époque qu’elle allait déployer des mesures de sécurité et des capacités de surveillance renforcées dans l’ensemble de son infrastructure afin de détecter toute nouvelle activité des acteurs de la menace et, éventuellement, de la prévenir.
De nouvelles informations révèlent quelles données ont été volées
Deux mois plus tard, la société mère de LastPass a fait un communiqué révélant que plusieurs de ses produits avaient été touchés par la violation. L’un d’eux était Central, un outil de communication d’entreprise, ainsi que Join.me, qui est couramment utilisé pour les réunions en ligne. Ensuite, l’incident a également touché un service VPN hébergé appelé Hamachi, et enfin, l’outil d’accès à distance, RemotelyAnywhere.
En outre, la société a noté que les hackers ont réussi à exfiltrer les sauvegardes cryptées des services appartenant aux utilisateurs. En outre, ils ont également réussi à obtenir la clé de cryptage de l’entreprise pour sécuriser les données. Dans un souci de précision, l’entreprise a déclaré que les informations affectées varient d’un produit à l’autre.
En tant que tel, il peut inclure des noms d’utilisateur de comptes, une partie des paramètres d’authentification multifactorielle, des mots de passe salés et hachés, et même certains paramètres de produits et données de licence. La confirmation provient directement du PDG de GoTo, Paddy Srinivasan.
Le PDG de la société a poursuivi en disant que les bases de données cryptées de Rescue et GoToMyPC n’ont pas été exfiltrées. Cependant, les paramètres MFA appartenant à un petit sous-ensemble de leurs utilisateurs ont quand même été touchés.
La confirmation est intervenue deux mois après l’annonce de la violation initiale, ce qui représente déjà un retard considérable. En outre, GoTo n’a pas fourni d’instructions pour remédier à la situation, ni même de conseils aux utilisateurs concernés. La société a confirmé qu’elle ne stocke pas les coordonnées bancaires ou les données de carte de crédit de ses utilisateurs et qu’elle ne collecte pas d’informations personnelles, telles que l’adresse personnelle, la date de naissance, le numéro de sécurité sociale, etc.
Entre-temps, lors de la violation de LastPass, les hackers ont réussi à voler toutes sortes de données sensibles, y compris les coffres à mots de passe cryptés des clients, leurs noms, numéros de téléphone et adresses électroniques, ainsi que certaines données de facturation.
GoTo contacte les personnes touchées
Même après la déclaration de GoTo, on ignore encore combien d’utilisateurs ont été touchés par la violation. GoTo compte environ 800 000 clients, mais cela inclut également des entreprises. Cela a été confirmé par Jen Mathews, directrice des relations publiques de GoTo. En dehors de cette déclaration, la société et ses représentants — y compris le porte-parole, Nikolett Bacso Albaum — ont refusé de faire d’autres commentaires ou de répondre à d’autres questions.
Le PDG de la société a seulement ajouté que GoTo contactait les utilisateurs concernés et que ceux-ci devaient réinitialiser leurs mots de passe et réautoriser les paramètres MFA. La société elle-même a l’intention de réinitialiser les mots de passe des utilisateurs concernés et de migrer leurs comptes vers une plateforme de gestion des identités améliorée.
Ainsi, la société sera en mesure d’offrir une plus grande sécurité, avec des options d’authentification et de sécurité par connexion plus robustes.
