LastPass trece printr-un nou episod neplăcut de securitate, chiar dacă de data aceasta problema nu a pornit direct din infrastructura companiei. Date ale unor clienți au fost accesate de hackeri prin intermediul Klue, un furnizor extern folosit de echipele de vânzări și marketing.
Pe scurt, atacatorii au compromis Klue și au obținut token-uri OAuth folosite pentru integrarea cu Salesforce. Aceste token-uri funcționează ca niște permisiuni digitale: nu sunt parole clasice, dar permit unei aplicații să acceseze anumite date fără autentificare manuală de fiecare dată. În cazul de față, accesul a fost folosit pentru a extrage informații din mediul Salesforce al LastPass.
Datele expuse includ nume, adrese de e-mail, numere de telefon, adrese fizice, informații din zona CRM, date legate de vânzări și detalii din tichetele de suport. LastPass spune că produsele sale, infrastructura proprie și seifurile criptate cu parole nu au fost afectate.
Asta este partea bună. Partea proastă este că tichetele de suport pot conține informații sensibile. Nu vorbim despre parolele salvate în LastPass, dar utilizatorii pot fi expuși la tentative de phishing mult mai credibile, mai ales dacă atacatorii știu deja ce probleme au avut cu serviciul, ce conturi folosesc sau ce date personale au oferit în discuțiile cu suportul.
Klue este o platformă de competitive intelligence, adică un serviciu folosit de companii pentru analiză de piață, vânzări și informații despre concurență. Tocmai pentru că se integrează cu sisteme precum Salesforce, un astfel de furnizor devine o țintă foarte valoroasă. Nu mai trebuie să ataci fiecare companie în parte. Dacă intri într-un furnizor care are acces la mai mulți clienți mari, ai deschis mai multe uși dintr-o singură lovitură.
Incidentul nu a afectat doar LastPass. Mai multe companii din zona de securitate și software, printre care Huntress, HackerOne, Recorded Future, Tanium, Jamf, Snyk, OneTrust și Sprout Social, au confirmat sau au fost asociate cu impactul breșei Klue. Salesforce a dezactivat integrarea Klue Battlecards în urma incidentului, precizând că problema nu a venit dintr-o vulnerabilitate a platformei Salesforce.
LastPass spune că a rotit token-urile expuse, a oprit accesul angajaților la Klue, investighează incidentul împreună cu Klue și Salesforce și colaborează cu autoritățile. Compania recomandă clienților afectați să fie atenți la mesaje de phishing sau tentative de social engineering.
Pentru LastPass, momentul este sensibil. Compania încă poartă povara breșei mari din 2022, când atacatorii au reușit să fure copii ale vault-urilor criptate ale clienților. De data aceasta, situația este diferită și mult mai limitată, însă pentru un manager de parole încrederea este totul.
Participa si tu la discutie!