LastPass a publié une mise à jour de sécurité juste avant Noël, informant les clients que la violation précédemment divulguée était pire que ce qu’elle avait annoncé précédemment. La nouvelle est tombée tard le jeudi avant Noël, à un moment où les clients de LastPass n’étaient guère en mesure de s’inquiéter de l’intégrité de leurs mots de passe. Maintenant, environ un mois plus tard, la société mère de LastPass, GoTo, a annoncé que la faille de sécurité de novembre était encore pire que nous ne le pensions.

Les pirates ne se sont pas contentés de voler les mots de passe cryptés des consommateurs LastPass. Ils ont également téléchargé des sauvegardes cryptées à partir de divers produits GoTo, mettant en danger la sécurité des clients GoTo.

LastPass a révélé la faille de sécurité pour la première fois en août 2022, développant la question en novembre. Les pirates ont militarisé les informations du piratage d’août pour voler les données de LastPass en novembre. LastPass a révélé la tournure des événements le jeudi avant Noël. La société mère de LastPass, GoTo, a également publié un avis sur l’incident de sécurité en novembre.

Mardi, le PDG de GoTo, Paddy Srinivasan, a mis à jour l’annonce, détaillant la violation massive qui a eu un impact sur d’autres services GoTo.

« Notre enquête à ce jour a déterminé qu’un acteur malveillant a exfiltré des sauvegardes cryptées d’un service de stockage en nuage tiers lié aux produits suivants : Central, Pro, join.me, Hamachi et RemotelyAnywhere », indique le billet de blog.

De plus, les pirates ont téléchargé une clé de cryptage pour une partie des sauvegardes cryptées.

« Les informations concernées, qui varient selon le produit, peuvent inclure des noms d’utilisateur de compte, des mots de passe salés et hachés, une partie des paramètres d’authentification multifacteur (MFA), ainsi que certains paramètres de produit et des informations de licence », a déclaré Srinivasan à propos de la faille de sécurité GoTo. . « En outre, bien que les bases de données chiffrées Rescue et GoToMyPC n’aient pas été exfiltrées, les paramètres MFA d’un petit sous-ensemble de leurs clients ont été impactés. »

GoTo contacte déjà les clients concernés avec des informations supplémentaires et des recommandations pour sécuriser leurs comptes. Par prudence, GoTo réinitialisera tous les mots de passe et réautorisera les paramètres MFA. En outre, la société migre les comptes clients vers une plate-forme de gestion des identités améliorée. Cela devrait fournir une sécurité supplémentaire, « une authentification plus robuste et des options de sécurité basées sur la connexion ».

Sur une note positive, GoTo note qu’il ne stocke pas de carte de crédit ou de coordonnées bancaires. En outre, il ne collecte pas d’informations personnelles telles que les dates de naissance, les adresses personnelles ou les numéros de sécurité sociale.

Pourtant, on ne sait pas combien de clients GoTo sont concernés. Par Tech CrunchGoTo compte 800 000 clients, y compris des entreprises.

Si vous êtes un utilisateur LastPass ou si vous utilisez d’autres produits GoTo, vous devez vous assurer que vos comptes sont sécurisés et que vos données sont sécurisées. De plus, si vous n’avez toujours pas modifié les mots de passe que vous avez stockés dans LastPass, vous devez le faire dès que possible. Les pirates pourraient ne jamais violer vos mots de passe cryptés, mais il vaut mieux prévenir que guérir.