LastPass anunció que ciberatacantes accedieron a casos de soporte que contenían datos de clientes en su ambiente de Salesforce tras robar los tokens OAuth de la compañía durante el ataque a la cadena de suministro de Klue a principios de este mes.
La plataforma de gestión de contraseñas afirma que sus productos, servicios e infraestructura de IT no se vieron afectados por el incidente y que las bóvedas de los clientes permanecieron seguras.
“El 12 de junio, LastPass se percató de un incidente ocurrido en Klue (klue.com), una plataforma de inteligencia de mercado de terceros basada en AI utilizada por nuestros equipos de Go-To-Market (GTM), que se integra con nuestros sistemas Salesforce y Gong“, declaró LastPass.
“Iniciamos una investigación de inmediato y descubrimos que, como parte de este incidente, un atacante no autorizado logró obtener los tokens OAuth que Klue almacenaba para many of sus clientes, incluido LastPass. Posteriormente, el atacante utilizó estas credenciales para acceder a los datos de los clientes de LastPass dentro de nuestro ambiente de Salesforce“.
La investigación del incidente no reveló indicios de que el atacante accediera a datos relacionados con Gong, que generalmente incluyen llamadas y correos electrónicos de clientes.
De acuerdo con LastPass, los datos que podrían haber quedado expuestos son nombres de clientes, números de teléfono, correo electrónico, direcciones físicas, así como información de casos de soporte y relacionada con ventas/CRM.
Los atacantes podrían utilizar esta información para realizar ataques de phishing e ingeniería social. Se recomienda a los usuarios, especialmente al CISO y equipos de seguridad, que tengan precaución con las comunicaciones no requeridas por teléfono o correo electrónico, especialmente aquellas que solicitan información confidencial. No se debe compartir la contraseña maestra con nadie.
El ataque a la cadena de suministro de Klue fue adjudicado al grupo de extorsión Icarus, que comprometió la infraestructura de la plataforma de inteligencia de mercado basada en AI y robó tokens OAuth que conectaban los ambientes de Salesforce de los clientes.
Los ciberatacantes de Icarus accedieron a la infraestructura de Klue utilizando credenciales legadas comprometidas para un servicio de integración. Esto les dio acceso a los tokens OAuth que conectaban Klue con varios servicios de terceros.
El incidente afectó a varias organizaciones, entre ellas Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity.
El atacante extrajo datos del sistema de gestión de relaciones con el cliente (CRM) e inició una campaña de extorsión que impactó activos valuados en varios mdd.
LastPass ha desactivado el acceso de los empleados a Klue, ha reemplazado los tokens de API/OAuth expuestos y ha notificado a las autoridades mientras se lleva a cabo la investigación dirigida por el CIO.
La empresa también advirtió sobre los atacantes que utilizan los dominios de remitente baccarat.com[.]au, robinskitchen.com[.]au y house[.]com.au, e indicó que solo se debe confiar en las comunicaciones provenientes de los canales de soporte oficiales.
