Sono passati quasi due mesi da quando GoTo, proprietario di LastPass, ha confermato che la sua nota piattaforma di gestione password è stata violata nel novembre dello scorso anno, esponendo i dati degli utenti di una serie di prodotti incentrati sulla sicurezza; gli hacker hanno però violato anche gli altri prodotti di GoTo, ovvero Central, Pro, join.me, Hamachi e RemotelyAnywhere. In un aggiornamento relativo a queste violazioni, ieri GoTo ha fornito nuove informazioni che destano ulteriori preoccupazioni: oltre a prelevare i dati crittografati da un server condiviso di terze parti, gli hacker sono infatti riusciti a ottenere anche le chiavi di crittografia.

L’hack di LastPass era già abbastanza devastante per un’azienda che si occupa di proteggere i dati degli utenti, ma dopo questa rivelazione lo è ancora di più. In precedenza, sapevamo che erano stati rubati nomi utente e password, oltre a dati di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP. L’aggiornamento di ieri ha precisato che, oltre a tutto questo, sono stati sottratti altri nomi utente e password, impostazioni di autenticazione a più fattori e informazioni sulle licenze agli utenti di Central, Pro, join.me, Hamachi e RemotelyAnywhere. A quanto pare, non sono stati invece rubati i database di supporto di GoToMyPC e Rescue, né i numeri delle carte di credito.

Sigma Pass, gestore password alternativo a LastPass per sviluppatori e sistemisti

L’aggiornamento delle scorse ore non dice quanti utenti siano stati colpiti dalla violazione visto che GoTo non ha fornito alcuna informazione al riguardo, ma nel post ufficiale si legge che “stiamo contattando direttamente i clienti colpiti per consigliare di adottare misure per proteggere le informazioni dei loro account. Le password degli utenti interessati dalla violazione sono state ripristinate direttamente dall’azienda e gli account degli utenti sono stati migrati su una piattaforma di gestione delle identità più sicura”. 

L’aggiornamento di ieri è l’ultima di una serie di notizie ben poco edificanti per GoTo e LastPass. L’hack di novembre segue infatti un evento simile dell’agosto dello scorso anno, apparentemente collegato, e nelle due violazioni sono state compromesse sia le informazioni interne dell’azienda, sia i dati dei clienti.