Violação de segurança da Goto: O que o recente incidente diz sobre a indústria de software de acesso remoto

A história resumida da violação de dados GoTo/LastPass

A GoTo anunciou recentemente que, de acordo com a sua investigação, “um agente de ameaças exfiltrou cópias de segurança encriptadas de um serviço de armazenamento na nuvem de terceiros relacionado com os seguintes produtos: Central, Pro, join.me, Hamachi e RemotelyAnywhere”. O CEO da GoTo, Paddy Srinivasan, enfatizou os esforços da empresa para manter os clientes informados e seguros após o incidente.

Um agente de ciberameaças também extraiu uma chave de encriptação para um segmento dos dados de cópia de segurança encriptados. Entre as informações afectadas podem estar “nomes de utilizador de contas, palavras-passe com sal e hash, uma parte das definições de autenticação multi-fator (MFA), bem como algumas definições de produtos e informações de licenciamento”. Na sequência desta violação de segurança da GoTo, os seus produtos foram minuciosamente investigados para garantir a sua segurança e funcionalidade durante este período.

Os sistemas de produção da GoTo não foram afectados para além do que foi anteriormente divulgado.

A empresa LastPass, propriedade da GoTo, também anunciou recentemente que um incidente ocorrido em agosto de 2022 foi mais grave do que se pensava. Os dados afectados incluíam bases de dados encriptadas GoToMyPC. Embora inicialmente tenha dito que nenhum dado de cliente havia sido afetado, o LastPass admitiu em dezembro que os dados de clientes haviam sido comprometidos. A parte não autorizada tinha acedido a um serviço de armazenamento na nuvem de terceiros onde o LastPass armazenava dados, incluindo nomes de utilizador de contas e palavras-passe com sal e hash. Os dados dos clientes afectados podem conter nomes de utilizador e outras informações sensíveis.

O incidente também afectou as definições de autenticação multi-fator (MFA) de um pequeno subconjunto de clientes, particularmente relacionadas com as bases de dados encriptadas do Rescue e do GoToMyPC. Na sequência deste incidente, a GoTo tomou medidas significativas para salvaguardar as palavras-passe das contas e melhorar as suas medidas gerais de segurança. Parte destas medidas consistiu em contactar diretamente os clientes afectados para os tranquilizar quanto às cópias de segurança encriptadas e a uma autenticação mais robusta.

Após várias violações de segurança no passado, o LastPass separou-se oficialmente da GoTo em maio de 2024 para se concentrar mais na segurança cibernética. Isto garantiu que protege os dados dos seus clientes com a sua plataforma de gestão de identidade melhorada, assegurando que as palavras-passe nunca mais serão violadas.

O que é que a violação de segurança da GoTo te diz sobre a segurança dos dados?

Há uma conclusão essencial de tudo o que foi dito acima: quando a segurança não é a prioridade, os utilizadores afectados são os que acabam por sofrer. A confiança digital e a segurança de dados são essenciais para nós aqui na RealVNC. Acreditamos que qualquer provedor de acesso remoto, especialmente um provedor de software, deve levá-los muito a sério. Na realidade, muitas empresas não colocam seu dinheiro onde sua boca está em relação à segurança adicional. A confiança digital e a segurança de dados são essenciais para nós aqui na RealVNC.

Construímos o nosso produto colocando a segurança em primeiro lugar, aderindo aos nossos quatro princípios de segurança:

Não tens de confiar na RealVNC como empresa para confiares no nosso software e serviços
Não registamos as tuas sessões e os dados não podem ser desencriptados agora ou no futuro
Cada ligação é tratada como se fosse feita num ambiente hostil
O proprietário do computador remoto decide, em última análise, quem pode ligar-se

Todas as ligações são encriptadas de ponta a ponta com AES de 256 bits. Também temos disponível a 2FA (autenticação de dois factores) e recomendamos vivamente a sua utilização.

O RealVNC Connect pode provar que é seguro

Não nos limitamos a afirmar que somos seguros. A nossa solução de acesso remoto é a única a ter sido auditada por um perito em segurança independente e a quem foi dada toda a segurança. Nomeadamente, abrimos as nossas portas a uma auditoria de segurança de caixa branca abrangente efectuada pela Cure53. Trata-se de uma análise de segurança muito mais aprofundada do que o tradicional teste de penetração anual, com os auditores a terem acesso total ao nosso código-fonte, à documentação interna da API e a uma linha de comunicação direta com os programadores. Estamos muito orgulhosos dos resultados, não tendo sido encontrados problemas críticos, o que apenas reafirma a nossa forte postura de segurança. Continuaremos a trabalhar arduamente para manter os mesmos elevados padrões de segurança.

Também temos o prazer de anunciar que a versão Android do RealVNC Server for Mobile é o primeiro aplicativo de acesso remoto a realizar o processo MASA com sucesso. Realizamos o processo para nosso aplicativo RealVNC Mobile Server em novembro de 2022, trabalhando em conjunto com o NCC Group, um laboratório MASA autorizado e um participante importante no setor de segurança. Nosso aplicativo passou rapidamente por essa avaliação e obteve um resultado excelente: uma APROVAÇÃO em cada área na primeira execução.

A RealVNC continuará a desafiar todo o setor a seguir o mesmo caminho de fornecer segurança adicional para seus produtos. Fizemos isso em eventos recentes de segurança cibernética e continuaremos a fazê-lo no futuro.

“Na RealVNC, trabalhamos com o ponto de vista de que nenhuma empresa deve acreditar na palavra de um fornecedor quando ele afirma que seu software é seguro, e é por isso que optamos por concluir uma auditoria de caixa branca com uma consultoria de segurança altamente conceituada para provar isso.”

– Andrew Woodhouse, diretor de informações da RealVNC

O que deves fazer a seguir?

Verifica se o teu fornecedor de software (e especialmente de acesso remoto) te pode mostrar provas da sua segurança. E não acredites apenas na sua palavra! Pede uma prova sob a forma de uma auditoria de segurança independente recente. Se não o puderem fazer, existem opções alternativas que cumprem os teus requisitos de segurança.

O RealVNC Connect garante um acesso remoto seguro e fiável para todos. Integra o RealVNC Viewer e o Server numa única aplicação de ambiente de trabalho unificada. A sua interface de fácil utilização e funcionalidades como a transferência de ficheiros, a barra de ferramentas redesenhada, o chat, o suporte para vários monitores e a gravação de sessões fazem dele uma ferramenta valiosa para todos os utilizadores da sua organização.

Nossa versão mais recente também inclui recursos avançados que suas equipes de suporte técnico e de TI certamente adorarão. O RealVNC Connect Versão 8 apresenta códigos de sessão auto-expiráveis que expiram e são substituídos em dois minutos, garantindo que nenhum código persistente possa ser usado para acesso não autorizado. Além disso, com a ferramenta, saberás quem se está a ligar, terás acesso apenas por convite e partilharás o teu dispositivo com o Code Connect. Pronto para experimentar a nova era do acesso remoto? Experimenta a versão mais recente do RealVNC Connect hoje mesmo!

Bogdan Bele

A journalist by formation and experience, and a content writer by trade. I’ve been writing content, both online and offline, for more than 15 years. My focus has always been technology, but I’ve also ventured into fields as diverse as music, football or news. I am RealVNC’s in-house Digital Content Editor, so a lot of what you’re reading on this blog is written by me. I also edit a lot of our content output. When I’m not writing, editing or reading, you’ll probably find me at a concert or watching a Chelsea FC game.