GoTo Says Hackers Stole Encrypted Backups, MFA Settings
2023/01/24 SecurityWeek — IT マネージメント・ソフトウェアを提供する GoTo は、2022年に発生した LastPass 関連会社に影響を及ぼしたセキュリティ侵害において、暗号化されたバックアップと一部の暗号化キーが、正体不明の脅威アクターに盗まれたと発表した。GoTo の CEO である Paddy Srinivasan は、このセキュリティ侵害が、当初の報告よりもはるかに深刻であることを認めている。具体的に言うと、アカウントのユーザー名および、ソルト化/ハッシュ化されたパスワード、MFA 設定の一部に加えて、一部製品のコンフィグレーション/ライセンス情報が盗まれたようだ。
Srinivasan は、オンラインで公表した通知の中で、「暗号化されたバックアップは、複数の GoTo ソフトウェア製品に関連するものである。これまでの調査により、サードパーティのクラウド・ストレージ・サービスから、暗号化されたバックアップを、脅威アクターが流出させたことが判明している。具体的に言うと、それらの製品は Central/Pro/join.me/Hamachi/RemotelyAnywhere となる。 さらに脅威アクターは、暗号化されたバックアップの、一部の暗号鍵を流出させたという証拠も得ている。それにより生じる影響は製品ごとに異なる。 Rescue と GoToMyPC の暗号化データベースは流出しなかったが、顧客のごく一部には、MFA 設定に影響が生じている」と述べている。
Srinivasan は、他の GoTo 製品や、GoTo のプロダクション・システムに影響を与える流出の証拠はないと述べている。
Srinivasan は、「すべてのアカウントのパスワードは、ベスト・プラクティスに従ってソルト化/ハッシュ化されているが、GoTo は影響を受けたユーザーのパスワードをリセットし、該当する場合には MFA 設定を再承認する予定である。 加えて、より強固な認証とログインベースのセキュリティ・オプションを提供する、強化されたアイデンティティ管理プラットフォームへと、顧客のアカウントを移行している」と述べている。
2022年8月に、GoTo の関連会社である LastPass が、ソースコードと技術情報の盗難を含む、データ侵害に遭遇したと公表している。 そして、2022年11月には GoTo も、無名のサードパーティ・クラウド・セキュリティ・ベンダーに関連する、ハッキングの影響を受けたと発表している。
さらに、2022年12月下旬の更新で同社は、8月の侵入の背後にいたハッカーが、マスター・パスワードに対するブルートフォースや推測により、暴露される可能性のあるパスワード保管庫データを含む、大量の顧客データを盗んだことを認めている。
LastPass によると、ハッカーは 2022年8月に同社のネットワークに侵入したが、その時の情報を悪用することで、企業名/エンドユーザー名/請求先住所/電子メールアドレス/電話番号に加えて、顧客が LastPass サービス・アクセスに用いた IP アドレスなどを窃取したとされる。
さらに、この正体不明の脅威アクターは、暗号化されたストレージ・コンテナから顧客データ保管庫のバックアップをコピーすることも可能だった。
公開されたコンテナには、Web サイトの URL といった暗号化されていないデータと、Web サイトのユーザー名/パスワード/メモ/フォームデータなどの、完全に暗号化された機密フィールドの両方が含まれていた。
今日の記事と、ダイレクトに関連するのは、2022/12/23 の「LastPass が認めたデータ侵害:暗号化されたパスワードなどが盗み出されている」ですが、これまでの伏線として、以下の記事があります。なにが、どこまで、影響しているのか? 頭が混乱してきますね。
2022/11/30:8月に窃取された情報により顧客データにアクセスか?
2022/09/17:不正侵入:4日間にわたる不正アクセスが判明
2022/08/27:ソースコードの一部が盗み出された影響は?
2021/12/28:ユーザーのマスター・パスワードが侵害された?
よろしければ、2023/01/14 の「CircleCI/LastPass/Okta/Slack が狙われる:サプライチェーン攻防の要は ID 管理と開発環境だ」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.