GoTo, दूरस्थ सहयोग और IT सॉफ़्टवेयर कंपनी, जो LastPass की मालिक है, ने इसकी पुष्टि की है लास्टपास के पासवर्ड वॉल्ट के साथइसके पास नवंबर 2022 के सुरक्षा उल्लंघन के दौरान हमलावरों द्वारा लिया गया ग्राहक डेटा था (के जरिए टेकक्रंच).
GoTo के कई उद्यम उत्पाद प्रभावित हुए, जिनमें Central, Pro, join.me, Hamachi, और RemotelyAnywhere शामिल हैं। गोटो के सीईओ धान श्रीनिवासन लिखते हैं कि एक हैकर ने “तृतीय-पक्ष क्लाउड स्टोरेज सेवा से एन्क्रिप्टेड बैकअप का बहिष्कार किया” और उनमें से एक हिस्से के लिए एन्क्रिप्शन कुंजी हासिल कर ली – करीब दो महीने पहले. ली गई जानकारी उत्पाद के अनुसार अलग-अलग होती है, लेकिन “खाता उपयोगकर्ता नाम, नमकीन और हैश पासवर्ड, मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) सेटिंग्स का एक हिस्सा, साथ ही कुछ उत्पाद सेटिंग्स और लाइसेंसिंग जानकारी शामिल हो सकती है।”
अधिक प्रसिद्ध GoToMyPC दूरस्थ कंप्यूटर सॉफ़्टवेयर और बचाव के लिए एन्क्रिप्टेड डेटाबेस हमलावरों द्वारा नहीं लिए गए थे; हालांकि, “उनके ग्राहकों के एक छोटे उपसमूह की एमएफए सेटिंग प्रभावित हुई थी।”
GoTo स्पष्ट रूप से प्रभावित ग्राहकों से सीधे संपर्क कर रहा है ताकि अतिरिक्त जानकारी प्रदान की जा सके और साथ ही क्या कार्रवाई की जा सके। उनके खातों के पासवर्ड “सावधानी की एक बहुतायत से बाहर” रीसेट कर दिए जाएंगे और एमएफए को भी फिर से प्राधिकृत कर दिया जाएगा। श्रीनिवासन ने यह भी लिखा कि प्रभावित खातों को अतिरिक्त सुरक्षा के लिए एक अलग पहचान प्रबंधन प्लेटफॉर्म पर माइग्रेट किया जाएगा, जिसमें “अधिक मजबूत प्रमाणीकरण और लॉगिन-आधारित सुरक्षा विकल्प” होंगे।
उल्लंघन का हमारा पहला झटका अगस्त में था, जब लास्टपास ने उपयोगकर्ताओं को सूचित किया कि एक अनधिकृत पार्टी ने एक डेवलपर खाते से समझौता किया है। उस हमले के दौरान ली गई जानकारी का जाहिर तौर पर इस्तेमाल नवंबर में किया गया था, जब हैकर्स ग्राहकों की तिजोरी हासिल करने में सफल रहे – एक ऐसा तथ्य जिसकी सार्वजनिक रूप से गुरुवार, 22 दिसंबर को देर से घोषणा की गई थी, जब बहुत से लोग छुट्टी मनाने की तैयारी कर रहे थे।
साइबर सुरक्षा विशेषज्ञ अलग हो गए लास्टपास की लीक पर प्रतिक्रियाकंपनी पर स्थिति की गंभीरता के बारे में पारदर्शिता की कमी और उल्लंघन को रोकने में उसकी विफलता का आरोप लगाया।
अब, श्रीनिवासन भारी गिरावट का सामना कर रहे हैं जो और भी बदतर होता जा रहा है। लेकिन सीईओ ग्राहकों को ध्यान दे रहा है कि GoTo उनके पूरे क्रेडिट कार्ड और बैंकिंग विवरण को स्टोर नहीं करता है और PII जैसे जन्म तिथि, पता और सामाजिक सुरक्षा नंबर एकत्र नहीं करता है। लास्टपास भी नीचे चला गया एक अलग घटना 2021 में जहां ग्राहकों को लगातार अनधिकृत लॉगिन प्रयासों से रोका गया।