LastPass confirmă acces neautorizat la datele clienților din Salesforce după furtul de tokenuri OAuth în atacul asupra Klue - Compania spune că seifurile de parole nu au fost afectate, dar avertizează asupra riscului de phishing

LastPass confirmă că atacatori au accesat date de clienți din mediul său Salesforce , după ce au obținut tokenuri OAuth furate în atacul asupra furnizorului terț Klue, potrivit BleepingComputer . Compania spune că produsele, serviciile și infrastructura sa nu au fost afectate, iar seifurile (vaults) clienților au rămas în siguranță. Incidentul a fost semnalat către LastPass pe 12 iunie, după ce compania a aflat de o breșă la Klue, o platformă de „market intelligence” folosită de echipele sale comerciale și integrată cu Salesforce și Gong. În urma investigației, LastPass afirmă că un actor neautorizat a obținut tokenuri OAuth pe care Klue le deținea pentru mai mulți clienți, inclusiv pentru LastPass, și le-a folosit pentru a accesa date de clienți din mediul Salesforce al LastPass. Ce date ar fi putut fi expuse și de ce contează LastPass spune că ar fi putut fi expuse următoarele categorii de date: nume de clienți; numere de telefon; adrese de e-mail; adrese fizice; informații din tichete/cazuri de suport; date asociate vânzărilor și CRM (Customer Relationship Management – administrarea relațiilor cu clienții). Riscul operațional imediat este creșterea tentativelor de phishing și a atacurilor de inginerie socială, care pot folosi aceste date pentru a face mesajele sau apelurile mai credibile. Recomandarea generală indicată este prudența față de comunicări nesolicitate (telefon/e-mail), mai ales când se cer informații sensibile, iar parola principală (master password) nu ar trebui comunicată nimănui. Ce se știe despre atac și cine l-a revendicat Atacul asupra lanțului de aprovizionare Klue a fost revendicat de grupul de extorcare Icarus , care ar fi compromis infrastructura platformei și ar fi furat tokenuri OAuth ce conectau mediile Salesforce ale clienților. Conform informațiilor prezentate, atacatorii ar fi intrat folosind credențiale vechi compromise pentru un serviciu de integrare, obținând astfel acces la tokenuri OAuth care legau Klue de diverse servicii terțe. Incidentul ar fi afectat mai multe organizații, inclusiv Recorded Future, Tanium, Jamf, Sprout Social, Gong și Insurity, iar atacatorul ar fi exfiltrat date CRM și ar fi lansat o campanie de extorcare. Măsuri luate de LastPass și avertisment privind comunicările LastPass afirmă că a dezactivat accesul angajaților la Klue, a rotit tokenurile API/OAuth expuse și a notificat autoritățile, în timp ce investigația continuă. Compania mai avertizează că actorii de amenințare ar folosi domeniile de expeditor baccarat.com[.]au, robinskitchen.com[.]au și house[.]com.au și că ar trebui considerate de încredere doar comunicările venite prin canalele oficiale de suport ale LastPass. Pentru moment, compania spune că investigația nu a găsit dovezi că atacatorul ar fi accesat date legate de Gong (care includ, de regulă, apeluri și e-mailuri cu clienții). [...]