Anciennement LogMeIn, GoTo propose des solutions cloud de gestion informatique (IT management), de communications unifiées et collaboration. Avec des produits comme GoTo Connect, GoTo Resolve, Rescue, GoToMyPC et autres, GoTo revendique près de 800 000 clients dans le monde.
GoTo est aussi la maison mère du gestionnaire de mots de passe LastPass qui a été la victime d’une importante fuite de données. À l’origine, une intrusion avait eu lieu sur un service tiers de stockage dans le cloud utilisé à la fois par LastPass et par GoTo.
Le piratage de LastPass s’est avéré plus grave qu’initialement annoncé fin novembre et c’est également le cas pour GoTo. Dans un billet de blog, Paddy Srinivasan, le patron de GoTo, indique qu’un attaquant a été en mesure d’exfiltrer des sauvegardes chiffrées.
Central, Pro, join.me, Hamachi et RemotelyAnywhere
Les produits concernés sont Central, Pro, join.me, Hamachi et RemotelyAnywhere. Le plus inquiétant est que l’attaquant a de plus exfiltré une clé de chiffrement (et donc le nécessaire pour un déchiffrement) concernant une partie des sauvegardes chiffrées.
Selon GoTo, les données en danger de compromission comprennent des noms d’utilisateurs pour des comptes, des mots de passe hachés et salés, une partie des paramètres d’authentification à plusieurs facteurs (MFA ; Multi-Factor Authentication), des paramètres de produits et des informations de licence.
» Alors que les bases de données chiffrées de Rescue et GoToMyPC n’ont pas été exfiltrées, les paramètres MFA d’un petit sous-ensemble de leurs clients ont été touchés « , ajoute le patron de GoTo. Il précise qu’à ce stade, il n’y a pas de preuve d’exfiltration concernant d’autres produits ou l’un des systèmes de production.
Mystère sur l’attaquant
GoTo annonce prendre contact avec les clients concernés. Les mots de passe (même s’ils étaient hachés et salés dans la fuite de données), voire les paramètres MFA sont réinitialisés. » En outre, nous faisons migrer leurs comptes vers une plateforme de gestion d’identités améliorée. «
La mise à jour sur l’incident de sécurité intervient près de deux mois après une première communication à ce sujet. En espérant que cela ne s’aggravera pas une fois de plus prochainement… Aucune information sur l’attaquant ou l’acteur malveillant ayant provoqué tout ce tumulte.