Компания LastPass сообщила, что хакеры получили доступ к данным клиентов из её среды Salesforce после кражи OAuth-токенов компании в рамках атаки на цепочку поставок Klue ранее в этом месяце.
Платформа для управления паролями заявила, что её продукты, сервисы и инфраструктура не пострадали в результате инцидента, а пользовательские хранилища остались в безопасности.
В LastPass заявили:
12 июня LastPass узнала об инциденте, произошедшем в Klue (klue.com), сторонней платформе маркетинговой аналитики, которую используют наши команды вывода продуктов на рынок и которая интегрирована с нашими системами Salesforce и Gong.
Мы немедленно начали расследование и выяснили, что в рамках этого инцидента злоумышленник смог получить OAuth-токены, которые Klue хранила для многих своих клиентов, включая LastPass.
Затем злоумышленник использовал эти учётные данные для доступа к клиентским данным LastPass в нашей среде Salesforce.
Расследование инцидента не выявило признаков того, что злоумышленник получил доступ к данным, связанным с Gong. Обычно такие данные включают звонки и электронные письма клиентов.
Какие данные могли быть раскрыты
По данным LastPass, могли быть раскрыты следующие данные:
- имена клиентов;
- номера телефонов;
- адреса электронной почты;
- физические адреса;
- информация по обращениям в поддержку;
- данные, связанные с продажами и CRM.
Злоумышленники могут использовать эту информацию для проведения фишинг-атак и атак социальной инженерии. Общая рекомендация для пользователей – с осторожностью относиться к нежелательным звонкам и письмам, особенно если в них запрашивают конфиденциальные данные. Мастер-пароль нельзя сообщать никому.
LastPass предупредила, что злоумышленники используют домены отправителей baccarat.com[.]au, robinskitchen.com[.]au и house[.]com.au. Доверять следует только сообщениям, поступающим через официальные каналы поддержки.
Атака на цепочку поставок Klue
Ответственность за атаку на цепочку поставок Klue взяла на себя группировка Icarus. Киберпреступники скомпрометировали инфраструктуру платформы маркетинговой аналитики на базе ИИ и похитили OAuth-токены, которые подключали среды Salesforce клиентов.
Хакеры Icarus получили доступ к инфраструктуре Klue с помощью скомпрометированных устаревших учётных данных для сервиса интеграции. Это дало им доступ к OAuth-токенам, которые связывали Klue с различными сторонними сервисами.
Инцидент затронул несколько организаций, включая Recorded Future, Tanium, Jamf, Sprout Social, Gong и Insurity. Злоумышленники похитили данные из систем управления взаимоотношениями с клиентами (CRM) и начали кампанию вымогательства.
Меры со стороны LastPass
Компания LastPass отключила доступ сотрудников к Klue, заменила раскрытые API/OAuth-токены и уведомила правоохранительные органы. Расследование продолжается.