Uma violação de segurança em um fornecedor terceirizado expôs dados de clientes pertencentes ao LastPass, confirmou a empresa esta semana, no último incidente que colocou o sitiado gerenciador de senhas novamente no centro das atenções.
O LastPass confirmou esta semana que hackers obtiveram acesso por meio de uma empresa chamada Klue, uma ferramenta de inteligência de mercado que o LastPass usa internamente para rastrear concorrentes e gerenciar relacionamentos de vendas. De acordo com o LastPass, um ator não autorizado obteve tokens OAuth que Klue mantinha em nome de seus clientes e os usou para acessar dados de clientes LastPass em seu ambiente Salesforce.
VEJA TAMBÉM:
Nintendo responde após suposta violação de dados de terceiros: Nossos ‘sistemas não foram comprometidos’
As informações expostas limitaram-se a nomes, números de telefone, endereços de e-mail, endereços físicos e registros relacionados a vendas. O LastPass foi enfático ao afirmar que seus principais produtos e cofres de clientes, ou seja, senhas, não foram afetados.
Velocidade da luz mashável
A violação não se limitou ao LastPass. Conforme relatado pelo BleepingComputer, um grupo de extorsão recém-surgido que se autodenomina Icarus assumiu publicamente a responsabilidade pelo ataque, descrevendo-o como uma operação ampla visando vários clientes da Klue. De acordo com relatórios do BleepingComputer, as empresas de segurança cibernética Huntress e ReliaQuest descobriram que os invasores exploraram uma credencial legada comprometida para obter tokens OAuth e, em seguida, usaram scripts Python para consultar a API do Salesforce e realizar roubo de dados em grande escala em inúmeras organizações. As vítimas confirmadas incluem Recorded Future, Tanium, Jamf, Sprout Social e Gong, entre outros.
A Icarus está supostamente pressionando as empresas afetadas a fazer contato por meio da plataforma de mensagens Session ou correr o risco de ter seus dados roubados publicados.
LastPass afirma que revogou o acesso de Klue, notificou as autoridades e está cooperando com a comunidade de segurança mais ampla por meio de sua equipe interna de inteligência de ameaças.
A empresa relutou que os clientes permanecessem alertas às tentativas de phishing e engenharia social que poderiam explorar os dados de contato expostos. Isso lembra aos usuários que o LastPass nunca solicitará uma senha mestra.