GoTo (conocida anteriormente como LogMeIn) advierte a los clientes que los actores de amenazas que violaron su entorno de desarrollo en noviembre de 2022, habrían logrado robar diferentes copias de seguridad cifradas que contenían información sus clientes y una clave de cifrado para una parte de esos datos.
En noviembre de 2022, la compañía confirmo una violación de seguridad en su entorno de desarrollo y en el servicio de almacenamiento en la nube utilizado tanto por ellos como por su afiliado, LastPass.
En ese momento, el impacto en los datos de los clientes aún no se conocía, ya que la investigación de la compañía sobre el incidente, con la ayuda de la firma de ciberseguridad Mandiant, acababa de comenzar.
La investigación interna hasta ahora ha revelado que el incidente tuvo un impacto significativo en los clientes de GoTo.
«Nuestra investigación hasta la fecha ha determinado que un actor de amenazas extrajo copias de seguridad cifradas relacionadas con Central y Pro de una instalación de almacenamiento en la nube de terceros«, se lee en el aviso a los clientes.
«Además, tenemos evidencia de que un actor de amenazas también exfiltró una clave de cifrado para una parte de los datos cifrados. Sin embargo, como parte de nuestros protocolos de seguridad, salamos y hash las contraseñas de las cuentas Central y Pro. Esto proporciona una capa adicional de seguridad dentro de las copias de seguridad cifradas.»
La información presente en las copias de seguridad exfiltradas incluye lo siguiente:
- Nombres de usuario de las cuentas Central y Pro.
- Contraseñas de cuentas Central y Pro (hash).
- Información de implementación y aprovisionamiento.
- Scripts One-to-Many (solo Central).
- Información de autenticación multifactor.
- Datos de licencias y compras como correos electrónicos, números de teléfono, dirección de facturación y los últimos cuatro dígitos de los números de tarjetas de crédito.
En respuesta a la situación, GoTo está restableciendo las contraseñas Central y Pro para los clientes afectados y migra automáticamente las cuentas a la plataforma de gestión de identidades mejorada de GoTo.
Esta plataforma proporciona controles de seguridad adicionales que hacen que el acceso no autorizado a la cuenta o la adquisición sean mucho más desafiantes.
El día de ayer, GoTo ha publicado una actualización del incidente diciendo que está contactando directamente a los clientes afectados para ofrecer más detalles y recomendaciones sobre pasos prácticos para aumentar la seguridad de sus cuentas.
Si bien la compañía no ha compartido el tipo de cifrado utilizado para las copias de seguridad, si usaron cifrado simétrico, como lo es AES, lo que significa que podría ser posible el poder descifrar las copias de seguridad utilizando la clave de cifrado robada.
La firma agrega que todavía no tiene evidencia de que los intrusos hayan tenido acceso a sus sistemas de producción y dice que los ataques man-in-the-middle no podrían tener ningún impacto en los clientes porque el cifrado está en base TLS 1.2 y con tecnología peer-to-peer.
La investigación de GoTo sobre el incidente aún está en curso, y la compañía prometió actualizar a los clientes en caso de que surjan hallazgos importantes.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
