Société mère de LastPass GoTo a publié une déclaration officielle qui, pour la quatrième ou la cinquième fois maintenant, modifie l’impact de la fuite de l’année dernière. Finalement, l’impact est plus important que ce que nous avons signalé pour la dernière fois, mais il est limité aux utilisateurs d’autres produits GoTo.
Les données utilisateur liées aux services GoTo comme Hamachi, RemotelyAnywhere, Join.me, Central et Pro ont été extraites. Les informations elles-mêmes étaient stockées sur un serveur, où les informations d’identification de l’utilisateur LastPass étaient également conservées. Alors que les informations étaient cryptées, les attaquants ont également réussi à voler la clé de cryptage. Oops!
Les informations concernées varient selon le produit et ne sont pas identiques dans tous les domaines, mais peuvent inclure des noms de compte, des mots de passe, des paramètres MFA (Multi-Factor Authentication), des paramètres de produit et même des licences de produit. C’est beaucoup d’informations !
Que fait GoTo, parent de LastPass, à propos des données utilisateur volées ?
Eh bien, la bonne chose. Ils ont commencé à contacter les clients concernés avec des indications sur ce qu’ils peuvent faire pour sécuriser leurs comptes. Ils prévoient d’offrir une aide supplémentaire, si nécessaire, mais tous les clients concernés ont vu leur mot de passe réinitialisé immédiatement.
La bonne nouvelle est qu’au moins personne ne se fait voler à cause de cela, car GoTo ne stocke pas les informations de paiement de leur côté. Nous pouvons les apprécier d’être honnêtes avec les conclusions de cette enquête, qui dure depuis août dernier.
Et, heureusement, cela ne change pas l’impact de la fuite LastPass elle-même. En tant que tel, aucune raison supplémentaire de préoccupation n’a été révélée par l’enquête. Espérons que tout cela se terminera bientôt sans plus de révélations choquantes.