LastPass bevestigt datalek na aanval op softwarepartner Klue
Volgens LastPass bleef de eigen infrastructuur buiten schot. Ook de versleutelde wachtwoordkluizen van gebruikers zouden niet zijn geraakt. Toch kregen aanvallers toegang tot bepaalde klantinformatie die was opgeslagen in Salesforce.
Aanvallers gebruikten gestolen toegangssleutels
Het incident kwam op 12 juni aan het licht, nadat Klue melding maakte van een beveiligingsprobleem. Klue levert software voor markt- en concurrentieanalyse en is gekoppeld aan verschillende zakelijke platformen, waaronder Salesforce. Tijdens het onderzoek ontdekte LastPass dat cybercriminelen zogenoemde OAuth-tokens hadden buitgemaakt. Dat zijn digitale toegangssleutels waarmee applicaties veilig met elkaar kunnen communiceren. Met die sleutels konden de aanvallers gegevens bekijken binnen de Salesforce-omgeving van LastPass.
Het gaat mogelijk om namen, e-mailadressen, telefoonnummers, postadressen en informatie uit supporttickets. Ook bepaalde gegevens uit verkoop- en klantbeheersystemen zouden toegankelijk zijn geweest. LastPass benadrukt dat er geen aanwijzingen zijn dat wachtwoorden, versleutelde kluizen of andere gevoelige accountgegevens werden ingezien. Ook gegevens uit Gong, een platform dat het bedrijf gebruikt voor klantcommunicatie, lijken niet te zijn geraadpleegd.
Extra opletten voor phishing
Hoewel het lek geen wachtwoorden blootlegt, waarschuwt LastPass wel voor mogelijke vervolgacties van cybercriminelen. Met de buitgemaakte contactgegevens kunnen aanvallers immers geloofwaardige phishingmails of telefoontjes opzetten. Klanten doen er daarom goed aan extra kritisch te zijn voor onverwachte berichten die zogezegd van LastPass afkomstig zijn. Het bedrijf benadrukt dat medewerkers nooit naar een hoofdwachtwoord zullen vragen.
De aanval wordt toegeschreven aan de afpersingsgroep Icarus. Die wist volgens beschikbare informatie binnen te dringen bij Klue via oude inloggegevens van een integratiedienst. Vervolgens werden toegangstokens buitgemaakt waarmee ook gegevens van andere klanten konden worden bereikt. Naast LastPass zouden ook organisaties zoals Recorded Future, Tanium, Jamf, Sprout Social, Gong en Insurity getroffen zijn door dezelfde aanval.
LastPass heeft intussen de samenwerking met Klue tijdelijk stopgezet, betrokken toegangstokens vervangen en de zaak gemeld bij de bevoegde instanties. Het onderzoek naar de precieze impact van het incident loopt nog.
