GoTo, die Muttergesellschaft des Passwortverwaltungsdienstes LastPass, hat enthüllt, dass Hacker bei einer Sicherheitsverletzung im November die verschlüsselten Daten einiger Kunden gestohlen haben.
Der Verstoß, der direkt auf einen im August zurückzuführen war, ermöglichte es einer „unbefugten Partei“, Zugriff auf einige Kundeninformationen zu erhalten, die auf einem von LastPass und dem Mutterunternehmen GoTo gemeinsam genutzten Cloud-Speicherdienst eines Drittanbieters gespeichert sind. Im August gestohlene Unternehmensdaten wurden dann im November dazu verwendet, in eine andere LastPass-Datenbank einzudringen, um unverschlüsselte Kundendaten wie Namen, E-Mail- und Rechnungsadressen, Telefonnummern und IP-Adressen zu erfassen. Es seien keine unverschlüsselten Kreditkartendaten offengelegt worden, so das Unternehmen.
Jetzt sagt GoTo, dass einige seiner anderen Unternehmensprodukte von dem Hack betroffen sind, darunter der Diebstahl verschlüsselter Kunden-Backups – Kopien von Daten-Notfallwiederherstellungen – für Central, Pro, join.me, Hamachi und RemotelyAnywhere. Das Unternehmen sagte auch, es habe Beweise dafür, dass ein Verschlüsselungsschlüssel, der zum Sichern der Daten einiger seiner Kunden verwendet wurde, ebenfalls gestohlen wurde.
„Die betroffenen Informationen, die je nach Produkt variieren, können Kontobenutzernamen, gesalzene und gehashte Passwörter, einen Teil der Einstellungen für die Multi-Faktor-Authentifizierung (MFA) sowie einige Produkteinstellungen und Lizenzinformationen umfassen“, sagte Paddy Srinivasan, CEO von GoTo, in a Aktualisierung des Blogbeitrags Montag. „Während die mit Rescue und GoToMyPC verschlüsselten Datenbanken nicht exfiltriert wurden, waren außerdem die MFA-Einstellungen einer kleinen Untergruppe ihrer Kunden betroffen.“
Srinivasan sagte auch, dass das Unternehmen nicht glaubt, dass andere GoTo-Produkte von dem Diebstahl betroffen waren. GoTo gab nicht an, wie viele Kunden von dem Diebstahl betroffen waren, sagte aber, dass es diejenigen informiert, die möglicherweise von dem Hack betroffen waren.
LastPass wurde entwickelt, um es Menschen zu ermöglichen, Passwörter auf ihren Geräten sicher zu generieren und zu speichern, digitale Aufzeichnungen zu speichern und beides mit vertrauenswürdigen Kontakten zu teilen. Aber Ende Dezember Karim Toubba, CEO von LastPass, bestätigte dies dass ein Sicherheitsvorfall, den das Unternehmen erstmals im August bekannt gab, letztendlich den Weg für eine unbefugte Partei geebnet hatte, Kundenkontoinformationen und Tresordaten zu stehlen.
GoTo reagierte nicht sofort auf eine Anfrage nach zusätzlichen Informationen.