GoTo, la société mère du service de gestion de mots de passe LastPass, a révélé que des pirates avaient volé les données cryptées de certains clients lors d’une faille de sécurité en novembre.

La violation, qui découlait directement de celle qui s’est produite en août, a permis à une “partie non autorisée” d’accéder aux informations de certains clients stockées sur un service de stockage en nuage tiers partagé par LastPass et le parent GoTo. Données de l’entreprise volées en août qui ont ensuite été utilisées en novembre pour pénétrer dans une autre base de données LastPass afin de capturer des données client non cryptées telles que des noms, des adresses e-mail et de facturation, des numéros de téléphone et des adresses IP. Aucune donnée de carte de crédit non cryptée n’a été exposée, a déclaré la société.

Maintenant, GoTo affirme que certains de ses autres produits d’entreprise ont été affectés par le piratage, y compris le vol de sauvegardes client cryptées – des copies de récupération d’urgence des données – pour Central, Pro, join.me, Hamachi et RemotelyAnywhere. La société a également déclaré avoir des preuves qu’une clé de cryptage utilisée pour sécuriser les données de certains de ses clients a également été volée.

“Les informations concernées, qui varient selon le produit, peuvent inclure des noms d’utilisateur de compte, des mots de passe salés et hachés, une partie des paramètres d’authentification multifacteur (MFA), ainsi que certains paramètres de produit et des informations de licence”, a déclaré le PDG de GoTo, Paddy Srinivasan, dans un communiqué. mise à jour de l’article de blog Lundi. “En outre, bien que les bases de données chiffrées Rescue et GoToMyPC n’aient pas été exfiltrées, les paramètres MFA d’un petit sous-ensemble de leurs clients ont été impactés.”

Srinivasan a également déclaré que la société ne pense pas que d’autres produits GoTo aient été affectés par le vol. GoTo n’a pas indiqué le nombre de clients touchés par le vol, mais a déclaré qu’il informait ceux qui auraient pu être touchés par le piratage.

LastPass est conçu pour permettre aux utilisateurs de générer et d’enregistrer en toute sécurité des mots de passe sur leurs appareils, de stocker des enregistrements numériques et de les partager avec des contacts de confiance. Mais fin décembre, Le PDG de LastPass, Karim Toubba, reconnu qu’un incident de sécurité que la société a révélé pour la première fois en août avait finalement ouvert la voie à une partie non autorisée pour voler des informations sur les comptes clients et les données du coffre-fort.

GoTo n’a pas immédiatement répondu à une demande d’informations supplémentaires.