A LastPass informou que hackers acessaram dados de clientes em seu ambiente no Salesforce após roubar os tokens OAuth da empresa em um ataque de supply chain contra a Klue, ocorrido no início deste mês.
A plataforma de gerenciamento de senhas afirmou que seus produtos, serviços e infraestrutura não foram afetados pelo incidente e que os cofres dos clientes permaneceram protegidos.
“Em 12 de junho, a LastPass tomou conhecimento de um incidente ocorrido na Klue (klue.com), uma plataforma terceirizada de inteligência de mercado utilizada por nossas equipes de go-to-market, que se integra aos nossos sistemas Salesforce e Gong”, disse a empresa.
“Imediatamente iniciamos uma investigação e descobrimos que, como parte desse incidente, um agente não autorizado conseguiu obter tokens OAuth que a Klue mantinha para muitos de seus clientes, incluindo a LastPass.”
“O threat actor então usou essas credenciais para acessar dados de clientes da LastPass dentro do ambiente Salesforce da empresa.”
A investigação não encontrou evidências de que o invasor tenha acessado dados relacionados ao Gong, que normalmente incluem chamadas e e-mails de clientes.
Segundo a LastPass, os seguintes dados podem ter sido expostos:
- nomes de clientes
- números de telefone
- endereços de e-mail
- endereços físicos
- informações de chamados de suporte
- dados relacionados a vendas e ao CRM
Essas informações podem ser usadas por atacantes em campanhas de phishing e engenharia social.
A recomendação geral aos usuários é ter cautela com comunicações não solicitadas por telefone ou e-mail, especialmente as que pedem dados sensíveis.
A senha mestra não deve ser compartilhada com ninguém.
O ataque de supply chain contra a Klue foi reivindicado pelo grupo de extorsão Icarus, que comprometeu a infraestrutura da plataforma de inteligência de mercado baseada em IA e roubou tokens OAuth que conectavam os ambientes Salesforce de seus clientes.
Os hackers do Icarus conseguiram acesso à infraestrutura da Klue usando credenciais legadas comprometidas de um serviço de integração.
Isso lhes deu acesso aos tokens OAuth que conectavam a Klue a diversos serviços de terceiros.
O incidente afetou várias organizações, entre elas Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity.
O threat actor exfiltrou dados de Customer Relationship Management, ou CRM, e iniciou uma campanha de extorsão.
A LastPass desativou o acesso de funcionários à Klue, rotacionou os tokens de API e OAuth expostos e notificou as autoridades enquanto a investigação continua.
A empresa também alertou que os threat actors estão usando os domínios remetentes baccarat.com[.]au, robinskitchen.com[.]au e house[.]com.au, e destacou que apenas comunicações enviadas pelos canais oficiais de suporte devem ser consideradas confiáveis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...