Blog

GoTo notifica que cibercriminales lograron robar copias de seguridad y una clave de cifrado de sus clientes

GoTo (conocida anteriormente como LogMeIn) advierte a los clientes que los actores de amenazas que violaron su entorno de desarrollo en noviembre de 2022, habrían logrado robar diferentes copias de seguridad cifradas que contenían información sus clientes y una clave de cifrado para una parte de esos datos.

En noviembre de 2022, la compañía confirmo una violación de seguridad en su entorno de desarrollo y en el servicio de almacenamiento en la nube utilizado tanto por ellos como por su afiliado, LastPass.

En ese momento, el impacto en los datos de los clientes aún no se conocía, ya que la investigación de la compañía sobre el incidente, con la ayuda de la firma de ciberseguridad Mandiant, acababa de comenzar.

La investigación interna hasta ahora ha revelado que el incidente tuvo un impacto significativo en los clientes de GoTo.

Imagen: CronUp Ciberseguridad

«Nuestra investigación hasta la fecha ha determinado que un actor de amenazas extrajo copias de seguridad cifradas relacionadas con Central y Pro de una instalación de almacenamiento en la nube de terceros«, se lee en el aviso a los clientes.

«Además, tenemos evidencia de que un actor de amenazas también exfiltró una clave de cifrado para una parte de los datos cifrados. Sin embargo, como parte de nuestros protocolos de seguridad, salamos y hash las contraseñas de las cuentas Central y Pro. Esto proporciona una capa adicional de seguridad dentro de las copias de seguridad cifradas

La información presente en las copias de seguridad exfiltradas incluye lo siguiente:

  • Nombres de usuario de las cuentas Central y Pro.
  • Contraseñas de cuentas Central y Pro (hash).
  • Información de implementación y aprovisionamiento.
  • Scripts One-to-Many (solo Central).
  • Información de autenticación multifactor.
  • Datos de licencias y compras como correos electrónicos, números de teléfono, dirección de facturación y los últimos cuatro dígitos de los números de tarjetas de crédito.

En respuesta a la situación, GoTo está restableciendo las contraseñas Central y Pro para los clientes afectados y migra automáticamente las cuentas a la plataforma de gestión de identidades mejorada de GoTo.

Esta plataforma proporciona controles de seguridad adicionales que hacen que el acceso no autorizado a la cuenta o la adquisición sean mucho más desafiantes.

El día de ayer, GoTo ha publicado una actualización del incidente diciendo que está contactando directamente a los clientes afectados para ofrecer más detalles y recomendaciones sobre pasos prácticos para aumentar la seguridad de sus cuentas.

Imagen: CronUp Ciberseguridad

Si bien la compañía no ha compartido el tipo de cifrado utilizado para las copias de seguridad, si usaron cifrado simétrico, como lo es AES, lo que significa que podría ser posible el poder descifrar las copias de seguridad utilizando la clave de cifrado robada.

La firma agrega que todavía no tiene evidencia de que los intrusos hayan tenido acceso a sus sistemas de producción y dice que los ataques man-in-the-middle no podrían tener ningún impacto en los clientes porque el cifrado está en base TLS 1.2 y con tecnología peer-to-peer.

La investigación de GoTo sobre el incidente aún está en curso, y la compañía prometió actualizar a los clientes en caso de que surjan hallazgos importantes.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required