La maison-mère de LastPass, GoTo, en a dit plus sur les dégâts causés sur le gestionnaire de mots de passe, touché par plusieurs fuites majeures. Au passage, l'entreprise a révélé que plusieurs autres de ses services avaient aussi été touchés.
Le feuilleton LastPass a connu un nouveau rebondissement cette semaine. L'entreprise GoTo, basée à Boston, a publié il y a quelques jours sa « réponse à un récent incident de sécurité. » Plus particulièrement, la maison-mère de LastPass est revenue sur le piratage subi par le gestionnaire au mois de novembre qui, rappelons-le, était le second de l'année civile. Ceci avait d'ailleurs, à la fin de l'année 2022, suscité les vives critiques de ses concurrents, mais pas que !
Un service piraté qui en cachait… quatre autres !
Concernant la brèche du mois de novembre, le PDG de GoTo, Paddy Srinivasan, a confirmé que des pirates ont bien exfiltré des sauvegardes, des données qui étaient stockées dans le Cloud, depuis un service lui-même lié à d'autres produits.
Le patron de GoTo précise que le serveur VPN Hamachi, que le service de visioconférence Join.me, que le logiciel dédié aux entreprises Central et que la solution d'accès à distance RemotelyAnywhere ont aussi été touchés. Les attaquants ont, en effet, pu récupérer une certaine quantité de données liées à ces logiciels.
Les hackers sont parvenus à obtenir une clé permettant de déchiffrer une partie des sauvegardes. Parmi les données exfiltrées, GoTo évoque des noms d'utilisateur ou encore des mots de passe hachés et salés. Petite précision, il ne faut pas confondre un mot de passe chiffré (qui suppose donc qu'il existe un moyen de le déchiffrer) avec un mot de passe salé et haché, qui va être transformé, auquel on va ajouter des caractères et qui ne fonctionne qu'à sens unique (en d'autres termes, qui est beaucoup plus sécurisé qu'un mot de passe simplement chiffré).
Des données sur les règles d'applications et des informations de licence ont aussi été dérobées. Si elles n'ont pas été volées par les pirates, les bases de données de Rescue et de GoToMyPC ont néanmoins été impactées, avec le vol potentiel de certains réglages d'authentification à factures multiples (MFA).
GoTo s'active pour rassurer ses clients et utilisateurs
GoTo affirme être en train de contacter progressivement l'ensemble de ses clients et utilisateurs, pour leur distiller quelques recommandations utiles à une meilleure sécurisation de leur compte. Tous les utilisateurs concernés par la fuite du mois de novembre ont vu leurs mots de passe (même si salé et haché) réinitialisés. GoTo évoque ici le choix de la « prudence ».
Les différents services frappés ont depuis été migrés vers une plateforme davantage sécurisée, ce qui inclut les comptes des utilisateurs. L'entreprise ajoute que l'infrastructure « fournira une sécurité supplémentaire, avec des options d'authentification et de sécurité basées sur une connexion plus robuste ».
Et pour rassurer les plus inquiets, et pendant que l'enquête autour de cette brèche se poursuit, GoTo a rappelé ne pas stocker les coordonnées bancaires complètes de ses utilisateurs, ni les informations personnelles qui permettraient de les identifier, comme la date de naissance, l'adresse postale ou le numéro de sécurité sociale.
Source : GoTo
