GoTo, la empresa matriz del servicio de administración de contraseñas LastPass, reveló que los piratas informáticos robaron los datos cifrados de algunos clientes durante una brecha de seguridad en noviembre.
La infracción, que se originó directamente de una que ocurrió en agosto, permitió que una «parte no autorizada» obtuviera acceso a la información de algunos clientes almacenada en un servicio de almacenamiento en la nube de un tercero compartido por LastPass y GoTo matriz. Datos de la empresa robados en agosto que luego se usaron en noviembre para entrar en otra base de datos de LastPass para capturar datos de clientes sin cifrar, como nombres, direcciones de correo electrónico y de facturación, números de teléfono y direcciones IP. No se expusieron datos de tarjetas de crédito sin cifrar, dijo la compañía.
Ahora, GoTo dice que algunos de sus otros productos empresariales se han visto afectados por el ataque, incluido el robo de copias de seguridad cifradas de clientes (copias de recuperación de emergencia de datos) para Central, Pro, join.me, Hamachi y RemotelyAnywhere. La compañía también dijo que tiene evidencia de que también se robó una clave de cifrado utilizada para proteger los datos de algunos de sus clientes.
«La información afectada, que varía según el producto, puede incluir nombres de usuario de cuentas, contraseñas con sal y hash, una parte de la configuración de autenticación multifactor (MFA), así como algunas configuraciones de productos e información de licencias», dijo el CEO de GoTo, Paddy Srinivasan, en un comunicado. actualización de la publicación del blog el lunes. «Además, si bien las bases de datos cifradas de Rescue y GoToMyPC no se exfiltraron, la configuración de MFA de un pequeño subconjunto de sus clientes se vio afectada».
Srinivasan también dijo que la compañía no cree que ningún otro producto GoTo haya sido afectado por el robo. GoTo no indicó cuántos clientes se vieron afectados por el robo, pero sí dijo que está informando a aquellos que pueden haber sido afectados por el ataque.
LastPass está diseñado para permitir que las personas generen y guarden contraseñas de forma segura en sus dispositivos, almacenen registros digitales y compartan ambos con contactos de confianza. Pero a fines de diciembre, el director ejecutivo de LastPass, Karim Toubba, reconoció que un incidente de seguridad que la compañía reveló por primera vez en agosto había allanado el camino para que una parte no autorizada robara la información de la cuenta del cliente y los datos de la bóveda.
GoTo no respondió de inmediato a una solicitud de información adicional.