Cela fait près de deux mois que le propriétaire de LastPass, GoTo, a confirmé que sa société avait été piratée en novembre de l’année dernière, exposant les données des utilisateurs pour un certain nombre de ses produits axés sur la sécurité et l’accès. Mais les pirates ont également piraté les autres produits de GoTo : Central, Pro, join.me, Hamachi et RemotelyAnywhere. Hier, dans une mise à jour concernant ces violations, GoTo a donné plus d’informations préoccupantes : en plus de prendre des données cryptées à partir d’un serveur tiers partagé, les pirates ont également réussi à obtenir la clé de cryptage.
Le piratage de LastPass était déjà assez dévastateur pour une entreprise qui s’attache à sécuriser les données des utilisateurs. Auparavant, nous savions que les noms d’utilisateur et les mots de passe, ainsi que les informations de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP avaient été volés. La mise à jour indique qu’en plus de tout cela, davantage de noms d’utilisateur et de mots de passe (y compris des mots de passe salés et hachés), des paramètres d’authentification multifacteur et des informations de licence ont été récupérés auprès des utilisateurs de Central, Pro, join.me, Hamachi et RemotelyAnywhere. Les bases de données de support GoToMyPC et Rescue n’ont apparemment pas été volées, pas plus que les numéros de carte de crédit.
La mise à jour ne dit pas combien d’utilisateurs ont été affectés – en fait, GoTo n’a pas du tout donné cette information jusqu’à présent. Mais le message indique que « nous contactons directement les clients concernés » et recommandons des mesures pour protéger les informations de leur compte. Les mots de passe des utilisateurs concernés sur les produits GoTo associés ont été réinitialisés par la société. Les comptes d’utilisateurs sont migrés vers une « plate-forme de gestion des identités améliorée » avec une sécurité plus robuste.
La mise à jour est la dernière d’une série de nouvelles embarrassantes pour GoTo et LastPass. Le piratage de novembre fait suite à un événement similaire en août de l’année dernière, apparemment lié, et dans les violations combinées, les informations internes de l’entreprise et les données des clients ont été compromises. Si vous voulez savoir comment quitter LastPass, vous n’êtes pas seul : Crumpa a un guide pour vous.