GoTo, blog yazısını ilk kez Kasım 2022’de keşfettiği bir güvenlik olayıyla ilgili olarak güncelledi. Central, Pro, Hamachi, join.me ve RemotelyAnywhere’e sunulan üçüncü taraf bulut depolama hizmetinin şifreli yedeklemeleri ve geliştirme ortamı ihlal edildi.
Şirket, etkilenen kullanıcı verilerinin hesap kullanıcı adlarını, ürün ayarlarını, lisanslama verilerini ve tuzlanmış ve karma parolaları içerdiğinden şüpheleniyor.
Kanıtlara dayanarak, GoTo veri ihlali sırasında şifrelenmiş yedeklemelerin bazı bölümleri için bir şifreleme anahtarının dışarı sızdığı sonucuna varılabilir.
Eski adı LogMeln Inc. olan şirket ayrıca çok faktörlü kimlik doğrulama (MFA) ayarlarının bir kısmının da ihlal edilmiş olabileceğini belirtti. Gönderiye göre, Rescue ve GoToMyPC ürünlerinden şifrelenmiş veriler güvende kaldı.
GoTo ayrıca, şu anda diğer ürünlerinden herhangi birine siber saldırıda erişildiğine inanmak için hiçbir nedeni olmadığını da açıkladı.
23 Ocak tarihli gönderi, şirketin tüm kredi kartı veya banka bilgilerini ve doğum tarihi, ikamet adresi ve sosyal güvenlik numarası dahil olmak üzere son kullanıcı kişisel bilgilerini saklamadığını ekleyerek sona erdi.
Sophos’tan araştırmacılar, şirketin söz konusu verileri toplamadığı takdirde bilgisayar korsanlarına maruz kalan “çok faktörlü kimlik doğrulama ayarlarının bir kısmı” ile ne kastettiğini sorarak buna itiraz ediyorlar.
LastPass siber saldırısı
GoTo CEO’su Paddy Srinivasan, 30 Kasım 2022 tarihli bir önceki gönderisinde bu olayın LastPass tarafından da kullanılan üçüncü taraf bulut depolama hizmetini etkilediğinden bahsetmişti.
Cyber Express, Ağustos ayında 25 milyondan fazla kullanıcının bilgilerini açığa çıkaran LastPass veri ihlalini bildirdi.
LastPass, kimlik ve erişim yönetimi hizmetleri sağlayan tek oturum açmayı kullanarak GoToMeeting ile entegre olur.
Olayla ilgili güncellenen blog yazısında şirketin CEO’su Karim Toubba, “…. Yetkisiz bir taraf, LastPass’ın üretim verilerimizin arşivlenmiş yedeklerini depolamak için kullandığı üçüncü taraf bulut tabanlı bir depolama hizmetine erişim sağladı.” Bu gönderi ayrıca, daha fazla araştırmadan sonra doğru olmadığı anlaşılan kullanıcı verilerine dokunulmadığını da garanti etti.
Araştırmacılar güvenlik ihlali bildirimlerini sorguluyor
Sophos, MFA ayarlarına suçlular tarafından erişilirse bunun telefon numaralarının, 2FA kodları için başlangıç tohumlarının ve saklanan kurtarma kodlarının etkilenmiş olabileceği anlamına gelebileceğini belirtti.
Bununla, bilgisayar korsanları telefon numaralarını kullanarak hesap giriş bilgilerine erişebilir ve servis sağlayıcıya kandırarak, ikna ederek veya rüşvet vererek bir sim kopyası olması için bir sim takas isteği gönderebilir.
Bu, oturum açmaya çalışılarak ve oturum açma için bir OTP gönderilmesini seçerek daha fazla kullanılabilir.
BT güvenlik şirketindeki araştırmacılar, çalınan kaynak kodun siber suçluların bulut depolamadan kullanıcı verilerine erişim elde etme konusundaki hakimiyetlerini artırmalarına yol açtığını belirtti. Her iki güvenlik olayı da geçen yılın ikinci yarısında rapor edildi.
Araştırmacılar tarafından, birlikte çalışan varlıkların, her ikisini de aynı anda etkilediği tespit edildiğinde neden veri ihlallerini onaylamadığı da dahil olmak üzere birkaç soru gündeme geliyor. Etkilenen kuruluşlar şeffaflığı korursa ve soruşturma görevlileriyle işbirliği yaparsa, soruşturmalar tutarlı bir sonuçla daha sorunsuz olabilir.