LastPass母公司GoTo證實用戶密碼備份和加密金鑰已洩漏

密碼管理服務LastPass母公司GoTo在2022年11月向用戶示警，表示正在調查一起安全事件，而現在GoTo公開最新調查結果，確認用戶密碼備份的加密金鑰被攻擊者偷走，其中包含了帳戶名稱、經處理過的密碼和多因素身分驗證配置等資料，目前已經重置受影響用戶的密碼及多因素驗證配置。

專門開發IT雲端工具的GoTo，在2022年11月偵測到開發環境和第三方雲端儲存服務存在異常活動，除了警告用戶和通知執法單位，也委請資安公司Mandiant協助調查。由於GoTo的第三方雲端儲存由GoTo和其子公司LastPass共用，因此LastPass也受到影響。

LastPass在2022年11月30日也在自家部落格，向用戶揭露LastPass和母公司GoTo遭入侵的消息，並提到根據他們的調查，惡意攻擊者使用8月入侵中竊得的資訊，在11月時又再次發動攻擊。LastPass在12月完成8月入侵事件的調查，發現攻擊者竊走用戶的加密密碼庫，但他們認為加密密碼庫中的密碼使用強健的密碼強化演算法，攻擊者難以猜出密碼，因此多數用戶不需要採取任何措施。

而GoTo現在針對11月的入侵事件，説明最新的調查進度，並表示是從IT管理工具Central、遠端存取和管理軟體Pro、線上會議工具join.me、網路虛擬化和VPN服務Hamachi，還有遠端存取和管理軟體RemotelyAnywhere產品相關的第三方雲端服務洩漏出去，而遭滲透的部分主要是這當中進行的加密備份，同時GoTo也證實攻擊者已經取得加密備份使用的金鑰。

由於加密備份的金鑰洩漏，因此用戶的資訊也就可能遭到攻擊者存取，受影響的資訊依不同產品而相異，可能包括帳戶名稱、經雜湊（Hashed）和加鹽（Salted）處理過的密碼、部分多因素身分驗證配置，以及一些產品配置和授權資訊，另外，雖然Rescue和GoToMyPC的加密資料庫未洩漏，但一小部分用戶多因素身分驗證配置仍受到影響。

雖然GoTo根據最佳實務的指引，對所有帳戶密碼都採取加鹽和雜湊處理，但是公司方面出於謹慎，還是重置受影響用戶的密碼或是MFA設定，同時，也將帳戶搬遷到更安全的身分管理平臺上，使用更為強健的身分驗證和登入安全功能保護。該公司強調，他們不會儲存完整的信用卡和銀行詳細資訊，也不會收集出生年月日、住址和社會安全碼等個人資訊，所以這些資料並沒有洩漏的疑慮。