密码管理服务LastPass母公司GoTo在2022年11月向用户示警,表示正在调查一起安全事件,而现在GoTo公开最新调查结果,确认用户密码备份的加密密钥被攻击者偷走,其中包含了账户名称、经处理过的密码和多因素身份验证配置等资料,目前已经重置受影响用户的密码及多因素验证配置。
专门开发IT云计算工具的GoTo,在2022年11月侦测到开发环境和第三方云计算存储服务存在异常活动,除了警告用户和通知执法单位,也委请安全公司Mandiant协助调查。由于GoTo的第三方云计算存储由GoTo和其子公司LastPass共享,因此LastPass也受到影响。
LastPass在2022年11月30日也在自家博客,向用户披露LastPass和母公司GoTo遭入侵的消息,并提到根据他们的调查,恶意攻击者使用8月入侵中窃得的资讯,在11月时又再次发动攻击。LastPass在12月完成8月入侵事件的调查,发现攻击者窃走用户的加密密码库,但他们认为加密密码库中的密码使用强健的密码强划算法,攻击者难以猜出密码,因此多数用户不需要采取任何措施。
而GoTo现在针对11月的入侵事件,说明最新的调查进度,并表示是从IT管理工具Central、远程访问和管理软件Pro、线上会议工具join.me、网络虚拟化和VPN服务Hamachi,还有远程访问和管理软件RemotelyAnywhere产品相关的第三方云计算服务泄露出去,而遭渗透的部分主要是这其中进行的加密备份,同时GoTo也证实攻击者已经取得加密备份使用的密钥。
由于加密备份的密钥泄露,因此用户的资讯也就可能遭到攻击者访问,受影响的资讯依不同产品而相异,可能包括账户名称、经散列(Hashed)和加盐(Salted)处理过的密码、部分多因素身份验证配置,以及一些产品配置和授权资讯,另外,虽然Rescue和GoToMyPC的加密数据库未泄露,但一小部分用户多因素身份验证配置仍受到影响。
虽然GoTo根据最佳实务的指引,对所有账户密码都采取加盐和散列处理,但是公司方面出于谨慎,还是重置受影响用户的密码或是MFA设置,同时,也将账户搬迁到更安全的身份管理平台上,使用更为强健的身份验证和登录安全功能保护。该公司强调,他们不会存储完整的信用卡和银行详细资讯,也不会收集出生年月日、住址和社会安全码等个人资讯,所以这些资料并没有泄露的疑虑。