Взлом GoTo, связанный с нарушением безопасности LastPass, оказался намного хуже, чем сообщалось изначально. Компания, ранее известная как LogMeIn, сообщила, что злоумышленники получили не только зашифрованные резервные копии данных клиентов, но и ключ шифрования по крайней мере для некоторых из этих данных.
Это история, похожая на взлом LastPass, который прошел по тому же пути от скромного первоначального объявления до откровений о том, что он был значительно хуже, чем изначально опасались…
Взлом LastPass
Дочерняя компания GoTo LastPass объявила еще в августе, что подверглась атаке на свои собственные системы, но в то же время заявила, что нет никаких признаков того, что пользовательские данные были скомпрометированы.
Ситуация изменилась в декабре, когда компания сообщила, что злоумышленники действительно получили доступ к данным клиентов. В то время говорилось, что пароли безопасны, поскольку ключ дешифрования есть только у клиента. Позже LastPass пошел дальше и признал, что было получено гораздо больше данных.
Dropbox и LastPass с новостями об управлении паролями
Были получены копии хранилищ паролей клиентов, а также имена, адреса электронной почты, платежные адреса, номера телефонов и многое другое.
Компания продолжала настаивать на том, что логины клиентов безопасны, но исследователь безопасности обвинил ее в «полуправде и откровенной лжи». Конкурент в области управления паролями 1Password затем оспаривал, что пароли клиентов не подвергаются риску из-за слабых методов обеспечения безопасности.
Взлом GoTo
Еще в ноябре GoTo заявила, что злоумышленники получили доступ к среде разработки компании, а также к стороннему облачному хранилищу, используемому как ею, так и LastPass.
Объявление было относительно сдержанным, в нем говорилось, что доступ был получен только к данным компании, а не к данным клиентов.
Однако недавно компания начала рассылать клиентам электронные письма, сообщая о доступе к резервным копиям их данных.
Информация в затронутых резервных копиях включает имена пользователей вашей учетной записи Central и Pro, а также засоленные и хешированные пароли. Он также включает информацию о развертывании и подготовке, сценарии One-To-Many (только Central), некоторую информацию о многофакторной аутентификации, данные о лицензировании и покупке, такие как адреса электронной почты пользователей, номера телефонов, адреса для выставления счетов и последние четыре цифры номеров кредитных карт ( мы не храним полную кредитную карту или банковские реквизиты).
GoTo также признал, что был получен ключ шифрования по крайней мере для части данных.
Кроме того, у нас есть доказательства того, что злоумышленник также похитил ключ шифрования для части зашифрованных данных. Однако в рамках наших протоколов безопасности мы солим и хэшируем пароли учетных записей Central и Pro. Это обеспечивает дополнительный уровень безопасности зашифрованных резервных копий.
Bleeping Computer, однако, говорит, что это может быть не вся история.
Хотя компания не сообщила тип шифрования, используемый для резервных копий, если бы они использовали асимметричное шифрование, такое как AES, то можно было бы расшифровать резервные копии с помощью украденного ключа шифрования.
GoTo принудительно сбрасывает пароли затронутых учетных записей, но не похоже, что это помешает доступу к уже полученным хакерами данным.
Фото: Маркус Списке/Unsplash
Lastpass ограничивает бесплатных пользователей компьютерами или мобильными приложениями в марте