Компания GoTo, владелец сервиса LastPass, подтвердила, в результате хакерской атаки в августе 2022 года злоумышленникам удалось получить доступ к данным пользователей.
В августе 2022 году компания обнаружила атаку на свой облачный сервис, который нужен для множества её продуктов, включая LastPass, Central, Pro, join.me, Hamachi и RemotelyAnywhere.
Ранее компания говорила только о краже кода и технической информации среды разработки. Однако 23 декабря команда менеджера паролей LastPass признала, что утечка была более серьезной, чем считалось изначально. Спустя месяц, в январе 2023 года в GoTo официально подтвердили кражу данных пользователей.
В компании сообщили, что в результате утечки хакеры получили доступ к именам и паролям аккаунтов для Central и Pro, сценариям One-to-Many для Central, информации о развёртывании и настройке и о многофакторной аутентификации. Также в распоряжении злоумышленников оказались платежные данные, которые использовали клиенты при покупке сервисов: адреса электронной почты, номера телефонов и последние четыре цифры номеров банковских карт. Доступ к зашифрованным базам данных для программ GoToMyPC и Rescue преступники не получили.
GoTo сбросила пароли пострадавших пользователей и отправила им письма с разъяснениями. Компания начала процесс автоматического перевода всех аккаунтов на расширенную платформу управления идентификацией с расширенными элементами управления конфиденциальностью.
В середине января LastPass признали, что хакерам удалось взломать платформу дважды за четыре месяца. В ходе расследования компания выяснила, что неизвестный получил доступ к облачной среде хранения, используя информацию, украденную в августе 2022 года. Так преступник добыл учётные данные и ключи, используемые для доступа и расшифровки некоторых томов хранилища в облачной службе хранения.
Эксперты рекомендуют пользователям LastPass поменять мастер-пароль на доступ к хранилищу и все пароли для хранилища аккаунтов сайтов. А также следует применять настройки, превышающие значения по умолчанию LastPass.
Фото: логотип компании.