LastPass 所有者 GoTo 分享了有关 11 月安全漏洞的更多坏消息

拥有 LastPass 的远程协作和 IT 软件公司 GoTo 已确认，在 2022 年 11 月的一次安全漏洞期间（通过TechCrunch） ，它与 LastPass 的密码保险库一起被攻击者窃取了客户数据。

该公司前身为 LogMeIn，自 11 月 30 日 GoTo 确认其开发环境和云存储服务中存在“异常活动”以来，首次更新了有关该漏洞的博客文章。

GoTo 的许多企业产品都受到了影响，包括 Central、Pro、join.me、Hamachi 和 RemotelyAnywhere。GoTo 首席执行官帕迪·斯里尼瓦桑 (Paddy Srinivasan) 写道，一名黑客“从第三方云存储服务中泄露了加密备份”，并获得了其中一部分的加密密钥——将近两个月前。获取的信息因产品而异，但“可能包括帐户用户名、加盐和散列密码、部分多因素身份验证 (MFA) 设置，以及一些产品设置和许可信息。”

更知名的 GoToMyPC 远程计算机软件和 Rescue 的加密数据库没有被攻击者拿走；然而，“一小部分客户的 MFA 设置受到了影响。”

GoTo 显然正在直接联系受影响的客户，以提供更多信息以及对采取何种行动的支持。“出于谨慎考虑”，他们的帐户密码将被重置，MFA 也将被重新授权。Srinivasan 还写道，受影响的帐户将迁移到不同的身份管理平台以提高安全性，该平台具有“更强大的身份验证和基于登录的安全选项”。

我们第一次发现违规行为是在 8 月，当时 LastPass 通知用户未经授权的一方破坏了开发者帐户。在那次攻击中获取的信息显然在 11 月被使用，当时黑客成功获得了客户保险库——这一事实直到 12 月 22 日星期四晚些时候才公开宣布，当时许多人正准备休假。

网络安全专家驳斥了LastPass 对泄密事件的回应，指责该公司对情况的严重性缺乏透明度，并且未能控制泄密事件。

现在，斯里尼瓦桑正在处理一个只会越来越严重的严重后果。但首席执行官向客户指出，GoTo 不会存储他们的完整信用卡和银行详细信息，也不会收集 PII，例如出生日期、地址和社会安全号码。LastPass 还淡化了 2021 年发生的另一起事件，当时客户不断遭到未经授权的登录尝试。