LastPass Datenleck durch Klue Lieferkettenangriff

Was ist passiert

LastPass, einer der bekanntesten Namen im Bereich Passwort-Management, steht erneut wegen eines schwerwiegenden Cybersicherheitsvorfalls im Rampenlicht. In einer Erklärung vom 24. Juni 2026 bestätigte das Unternehmen, dass Kundendaten aufgrund eines Cyberangriffs auf seinen Partner, die Plattform Klue, durchgesickert sind. Der Angriff wurde mittels eines Lieferkettenangriffs durchgeführt, der als eine der gefährlichsten Cyber-Bedrohungen der letzten Jahre gilt. Obwohl der Vorfall kein direkter Angriff auf die Systeme von LastPass war, gefährdete er die Kunden des Unternehmens durch eine Schwachstelle bei einem vertrauenswürdigen Partner. Das Unternehmen gab an, am 12. Juni auf die Situation aufmerksam geworden zu sein und umgehend eine Untersuchung eingeleitet zu haben. Dieses Ereignis zeigt einmal mehr, dass, egal wie robust die eigene Sicherheit eines Unternehmens ist, das schwächste Glied in seinem Ökosystem die gesamte Struktur bedrohen kann. Um die neuesten Entwicklungen zu diesem Thema zu verfolgen, können Sie die Seite Datenleck Nachrichten besuchen.

Welche Daten wurden gestohlen

LastPass hat die drängendste Frage der Benutzer nach dem Vorfall klar beantwortet: Die Passwort-Tresore (Vaults) der Kunden waren von diesem Angriff nicht betroffen. Laut der Erklärung des Unternehmens haben die Angreifer die Produkte, Dienstleistungen oder die Kerninfrastruktur von LastPass nicht kompromittiert. Das bedeutet, dass die von den Benutzern gespeicherten Passwörter, Notizen und anderen sensiblen Informationen sicher bleiben. Dies bedeutet jedoch nicht, dass der Vorfall unbedeutend ist.

Die Daten, auf die die Angreifer zugriffen, bestehen aus Datensätzen, die in der Salesforce-Umgebung von LastPass gespeichert sind. Diese Daten umfassen:

• Geschäftliche Kontaktinformationen: Kundennamen, Telefonnummern, E-Mail-Adressen und physische Postanschriften.
• CRM-Datensätze: Informationen zu Supportfällen und vertriebsbezogene Aufzeichnungen, die im Customer Relationship Management (CRM)-System geführt werden.

Obwohl diese Art von Daten möglicherweise nicht zu direkten finanziellen Verlusten führt, kann sie indirekt sehr gefährlich sein. Angreifer können diese Informationen nutzen, um gezielte Phishing- und Social-Engineering-Angriffe durchzuführen. Sie könnten beispielsweise gefälschte E-Mails versenden, die vorgeben, von LastPass zu stammen, um Kunden dazu zu bringen, ihre Master-Passwörter oder andere persönliche Informationen preiszugeben. Sie können unser Tool zur Datenleck Suche verwenden, um herauszufinden, ob Ihre persönlichen Daten bei diesem oder einem anderen Vorfall offengelegt wurden.

Wie der Angriff geschah

Im Zentrum des Angriffs steht Klue, eine Marktforschungsplattform, die von den Marketing- und Vertriebsteams von LastPass genutzt wird. Klue lässt sich in CRM- und Vertriebstools wie Salesforce und Gong integrieren, um Unternehmen Wettbewerbsanalysedienste anzubieten. Diese Integration wird durch ein Autorisierungsprotokoll namens OAuth ermöglicht. OAuth-Token sind wie digitale Schlüssel, die einer Anwendung (Klue) den Zugriff auf Daten in einer anderen Anwendung (Salesforce) innerhalb eines bestimmten Berechtigungsrahmens ermöglichen, ohne das Passwort des Benutzers zu kennen.

Die Angreifer drangen in die Systeme von Klue ein und stahlen diese OAuth-Token. Unter den gestohlenen Token befanden sich auch solche, die LastPass gehörten. Mit diesen Token erhielten die Angreifer im Rahmen der an Klue erteilten Berechtigungen Zugriff auf Kundendaten in der Salesforce-Umgebung von LastPass. Diese Methode ist ein klassisches Beispiel für einen Lieferkettenangriff: Die Angreifer zielten nicht direkt auf das Hauptziel (LastPass), sondern auf dessen potenziell weniger sicheren Partner (Klue), um ihr Ziel indirekt zu erreichen.

Die Cybersicherheitsfirma Huntress beschrieb diesen Vorfall als einen „Sicherheits-Dominoeffekt“. Der Prozess, der mit dem Diebstahl eines Integrations-Anmeldeinformation begann, löste eine Kettenreaktion aus, die zum Diebstahl von Daten von mehreren verbundenen Plattformen führte.

Wer war betroffen

Die Auswirkungen dieses Lieferkettenangriffs sind nicht auf LastPass beschränkt. Viele Unternehmen im Kundenportfolio von Klue waren von diesem Vorfall betroffen. Neben LastPass haben auch einige führende Firmen der Cybersicherheitsbranche bestätigt, dass sie vom Klue-Leck betroffen waren. Zu diesen Unternehmen gehören Huntress, Recorded Future, Tanium und Jamf. Jedes dieser Unternehmen hat separate Erklärungen veröffentlicht, in denen detailliert beschrieben wird, wie sie betroffen waren.

Eine Erpressergruppe namens „Icarus“, die seit Ende April 2026 aktiv ist, hat die Verantwortung für den Angriff übernommen. Die Gruppe verkündete den Angriff auf ihrer Datenleck-Website. Dies weckt Bedenken, dass die gestohlenen Daten in den kommenden Tagen für bösartige Zwecke zum Verkauf angeboten oder für weitere Angriffe verwendet werden könnten.

Was Sie tun können

Obwohl die Passwort-Tresore der LastPass-Benutzer sicher sind, müssen sie aufgrund der durchgesickerten Kontaktinformationen vorsichtig sein. Hier sind die Schritte, die Sie unternehmen können:

• Seien Sie wachsam gegenüber Phishing-Angriffen: Seien Sie misstrauisch gegenüber E-Mails, SMS-Nachrichten oder Anrufen, die angeblich von LastPass oder einem anderen Dienstanbieter stammen. Seien Sie besonders vorsichtig bei Nachrichten, die Sie auffordern, dringend auf einen Link zu klicken, eine Datei herunterzuladen oder Ihre persönlichen Daten zu überprüfen.
• Geben Sie niemals Ihr Master-Passwort weiter: LastPass wird Sie unter keinen Umständen per E-Mail oder auf andere Weise nach Ihrem Master-Passwort fragen. Jede Anfrage nach dieser Information ist ein Betrugsversuch.
• Überprüfen Sie die Kontaktinformationen: Wenn Sie eine verdächtige E-Mail erhalten, überprüfen Sie sorgfältig die Absenderadresse. Unternehmen Sie nichts, bevor Sie nicht bestätigt haben, dass sie von offiziellen LastPass-Kommunikationskanälen stammt.
• Verwenden Sie die Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie MFA für Ihr LastPass-Konto und alle anderen Online-Konten. Dies ist eine zusätzliche Sicherheitsebene, die unbefugten Zugriff auf Ihr Konto verhindert, selbst wenn Ihr Passwort gestohlen wird.

Was das Unternehmen sagt

LastPass gab bekannt, dass es nach Entdeckung des Vorfalls eine Reihe sofortiger Maßnahmen ergriffen hat. Laut der offiziellen Erklärung des Unternehmens wurden folgende Schritte unternommen:

• Untersuchung eingeleitet: Eine interne Untersuchung wurde sofort zusammen mit Klue und Salesforce eingeleitet, um den Umfang und die Auswirkungen des Vorfalls zu verstehen.
• Zugriff widerrufen: Der gesamte Mitarbeiterzugriff auf die Klue-Plattform wurde sofort widerrufen.
• API-Token erneuert: Alle API-Token (OAuth-Token), die vermutlich bei dem Vorfall kompromittiert wurden, wurden für ungültig erklärt und erneuert.
• Strafverfolgungsbehörden benachrichtigt: Die Situation wurde den zuständigen Justiz- und Strafverfolgungsbehörden gemeldet.
• Indikatoren für eine Kompromittierung (IoCs) geteilt: Technische Indikatoren wie IP-Adressen und E-Mail-Absenderdomänen, die beim Angriff verwendet wurden, wurden der Öffentlichkeit mitgeteilt, um der Sicherheitsgemeinschaft zu helfen, ähnliche Angriffe zu verhindern.

Dieser Vorfall ereignet sich nach dem großen Datenleck bei LastPass im Jahr 2022, bei dem Angreifer Sicherungskopien von Kunden-Passwort-Tresoren stahlen. Drei Jahre nach diesem Leck deckten Forscher von TRM Labs Kryptowährungsdiebstähle auf, die mit Anmeldeinformationen aus den gestohlenen Tresoren in Verbindung standen. Dieses neue Leck stellt den Sicherheitsruf des Unternehmens erneut in Frage.

Quelle

https://www.helpnetsecurity.com/2026/06/24/lastpass-klue-data-breach-salesforce-environment/