Skip to content
LastPass-Eigentümer GoTo sagt, Hacker hätten Backups von Kundendaten gestohlen


GoTo, die Muttergesellschaft des Passwortverwaltungsdienstes LastPass, hat enthüllt, dass Hacker bei einer Sicherheitsverletzung im November die verschlüsselten Daten einiger Kunden gestohlen haben.

Der Verstoß, der direkt auf einen im August zurückzuführen war, ermöglichte es einer „unbefugten Partei“, Zugriff auf einige Kundeninformationen zu erhalten, die auf einem von LastPass und dem Mutterunternehmen GoTo gemeinsam genutzten Cloud-Speicherdienst eines Drittanbieters gespeichert sind. Im August gestohlene Unternehmensdaten, die dann im November dazu verwendet wurden, in eine andere LastPass-Datenbank einzudringen, um unverschlüsselte Kundendaten wie Namen, E-Mail- und Rechnungsadressen, Telefonnummern und IP-Adressen zu erfassen. Es seien keine unverschlüsselten Kreditkartendaten offengelegt worden, so das Unternehmen.

Jetzt sagt GoTo, dass einige seiner anderen Unternehmensprodukte von dem Hack betroffen sind, einschließlich des Diebstahls verschlüsselter Kunden-Backups – Kopien der Daten-Notfallwiederherstellung – für Central, Pro, join.me, Hamachi und RemotelyAnywhere. Das Unternehmen sagte auch, es habe Beweise dafür, dass ein Verschlüsselungsschlüssel, der zum Sichern der Daten einiger seiner Kunden verwendet wurde, ebenfalls gestohlen wurde.

„Die betroffenen Informationen, die je nach Produkt variieren, können Kontobenutzernamen, gesalzene und gehashte Passwörter, einen Teil der Einstellungen für die Multi-Faktor-Authentifizierung (MFA) sowie einige Produkteinstellungen und Lizenzinformationen umfassen“, sagte Paddy Srinivasan, CEO von GoTo, in a Blogbeitrag Update Montag. „Darüber hinaus wurden die mit Rescue und GoToMyPC verschlüsselten Datenbanken zwar nicht exfiltriert, aber die MFA-Einstellungen einer kleinen Untergruppe ihrer Kunden waren betroffen.“

Srinivasan sagte auch, dass das Unternehmen nicht glaubt, dass andere GoTo-Produkte von dem Diebstahl betroffen waren. GoTo gab nicht an, wie viele Kunden von Diebstahl betroffen waren, sagte aber, dass es diejenigen informiert, die möglicherweise von dem Hack betroffen waren.

LastPass wurde entwickelt, um es Menschen zu ermöglichen, Passwörter auf ihren Geräten sicher zu generieren und zu speichern, digitale Aufzeichnungen zu speichern und beides mit vertrauenswürdigen Kontakten zu teilen. Doch Ende Dezember räumte Karim Toubba, CEO von LastPass, ein, dass ein Sicherheitsvorfall, den das Unternehmen erstmals im August gemeldet hatte, letztendlich den Weg für eine unbefugte Partei geebnet hatte, um Kundenkontoinformationen und Tresordaten zu stehlen.

GoTo reagierte nicht sofort auf eine Anfrage nach zusätzlichen Informationen.