GoTo (precedentemente nota come LogMeIn) è l’azienda software che detiene la proprietà del password manager LastPass, ed è tornata sulla violazione subita dal servizio l’anno scorso. La società ha, infatti, confermato a TechCrunch che anche i dati dei clienti sono stati rubati, oltre alle password come affermato in precedenza. Questo è ciò che si legge sull’ultimo aggiornamento del post sul blog ufficiale, dove GoTo aveva già comunicato la violazione del proprio ambiente di sviluppo e del servizio di cloud storage.
E LastPass non è l’unico prodotto interessato dall’attacco informatico. Tra gli altri, si citano anche altri servizi dell’azienda, come Central, Pro, join.me, Hamachi e RemotelyAnywhere.
Paddy Srinivasan, CEO di GoTo, ha confermato l’esfiltrazione di backup criptati da un servizio di cloud storage di terzi. L’hacker ha ottenuto la chiave crittografica di una parte dei dati trafugati, ormai 60 giorni fa all’incirca. Tra le informazioni sottratte, figurano nomi di account, password e hash, alcune impostazioni MFA e informazioni sulle licenze.
L’azienda sta contattando direttamente i clienti colpiti per fornire ulteriori informazioni e assistenza sulle azioni da intraprendere. Le password per i loro account saranno reimpostate e anche l'MFA sarà riautorizzato. Srinivasan ha anche dichiarato che gli account interessati saranno migrati su una diversa piattaforma di gestione dell'identità per una maggiore sicurezza, con "opzioni di autenticazione e di sicurezza basate sul login più efficaci".
Ricordiamo che, ad agosto, LastPass aveva notificato agli utenti che un soggetto non autorizzato aveva compromesso un account di uno sviluppatore. Le informazioni raccolte durante l'attacco sono state apparentemente utilizzate a novembre, quando gli hacker sono riusciti a ottenere i vault dei clienti, un fatto che è stato annunciato pubblicamente solo a dicembre, quando molte persone si stavano preparando per le vacanze.
Di conseguenza, l'azienda è stata accusata di mancanza di trasparenza sulla gravità della situazione e di non essere riuscita a contenere la violazione.
Ora Srinivasan sta affrontando critiche ancora più severe. Il CEO fa notare ai clienti che GoTo non memorizza tutti i dati bancari e delle carte di credito e non raccoglie dati personali come la data di nascita, l'indirizzo e il numero di previdenza sociale. LastPass ha anche minimizzato un altro incidente avvenuto nel 2021, in cui i clienti sono stati interessati da tentativi di accesso non autorizzati ripetuti.