LastPass подтвердила утечку данных в атаке на цепочку поставок – Veri Sızıntısı
Live
Поиск
Компания
О нас Слово основателя Пресса и СМИ Политика конфиденциальности Условия использования FAQ Пресс-кит
Продукты
HUBOne HUBCorp Скоро Veri Sızıntısı Android Скоро Veri Sızıntısı iOS Скоро Veri Sızıntısı Huawei Скоро Breach Radar Argus Flow Argus Engine LivePlatform
Технологии
Что такое Argus AI? Попробовать в HUBOne Что такое Argus Flow? Что такое Argus Engine?
Блог Контакты

LastPass подтвердила утечку данных в атаке на цепочку поставок

Популярный менеджер паролей LastPass подтвердил, что данные клиентов были скомпрометированы в результате атаки на цепочку поставок через стороннюю платформу Klue. Были украдены токены OAuth, что привело к доступу к их среде Salesforce.

Логотип LastPass с изображением разорванной цепи и замка, символизирующим атаку на цепочку поставок.

Что произошло

23 июня 2026 года LastPass, одна из самых популярных в мире платформ для управления паролями, подтвердила, что в результате атаки на цепочку поставок произошел несанкционированный доступ к некоторым данным ее клиентов. Инцидент начался со взлома систем Klue, сторонней платформы для анализа рынка, используемой отделами маркетинга и продаж LastPass. LastPass заявила, что впервые узнала об инциденте 12 июня после уведомления от Klue и немедленно начала всестороннее расследование.

Атака не была направлена непосредственно на собственную инфраструктуру LastPass или ее хранилища паролей. Вместо этого киберпреступники использовали платформу Klue в качестве плацдарма. Такие атаки известны тем, что нацелены на самое слабое звено в цепи безопасности компании, а именно на ее деловых партнеров или поставщиков услуг, которые могут быть менее защищены. В случае с LastPass целью злоумышленников были токены аутентификации, хранящиеся у Klue, которые предоставляли доступ к другим системам ее клиентов (в данном случае, Salesforce). В своем заявлении компания подчеркнула, что ее продукты, услуги и основная инфраструктура не пострадали в результате этого инцидента и, что наиболее важно, хранилища паролей клиентов остались в безопасности. Это означает, что мастер-пароли пользователей и конфиденциальная информация, хранящаяся в их хранилищах, не были скомпрометированы. Однако утечка все же затрагивает значительные персональные данные, что может представлять серьезные риски для пользователей.

Какие данные были раскрыты

LastPass объяснила, что киберпреступники использовали учетные данные для аутентификации, украденные у Klue, чтобы получить доступ к среде Salesforce компании и похитить оттуда определенные данные клиентов. Характер утекших данных включает прямую контактную и идентификационную информацию пользователей. Это предоставляет злоумышленникам ценный ресурс для будущих фишинговых и социальных инженерных атак. Согласно заявлению компании, раскрытые данные включают:

Ваш email в утечке? Проверьте бесплатно — результат за секунды.

Проверить →
  • Имена клиентов: Полные имена пользователей позволяют злоумышленникам создавать более персонализированные и убедительные фишинговые письма.
  • Номера телефонов: Могут использоваться для голосового фишинга (вишинг) или мошенничества на основе SMS (смишинг).
  • Адреса электронной почты: Основной канал связи для атак, идеально подходящий для отправки поддельных уведомлений от LastPass.
  • Физические адреса: Хотя и реже, могут использоваться для более сложных схем мошенничества или кражи личных данных.
  • Информация о заявках в службу поддержки: Эта информация, включающая прошлые проблемы пользователей, может облегчить злоумышленникам завоевание доверия, выдавая себя за команду поддержки LastPass.
  • Данные, связанные с продажами/CRM: Информация о деловых отношениях компаний с LastPass может быть использована в целевых атаках на корпоративных клиентов.

LastPass подтвердила, что мастер-пароли, защищающие хранилища паролей клиентов, и другие данные в хранилищах не пострадали от этой утечки. Также было отмечено, что нет доказательств доступа к данным, связанным с системами Gong, которые обычно включают звонки и электронные письма клиентов. Тем не менее, всегда полезно использовать инструмент для поиска утечки данных, чтобы проверить, не был ли ваш адрес электронной почты замешан в других утечках.

Как произошла атака

Этот инцидент является классическим примером сложной атаки на цепочку поставок. Группа вымогателей "Icarus", взявшая на себя ответственность за атаку, нацелилась не на LastPass напрямую, а на ее партнера, Klue. Цепочка атаки развивалась следующим образом:

  1. Взлом инфраструктуры Klue: Злоумышленники проникли в инфраструктуру Klue, используя старые и небезопасные устаревшие учетные данные для службы интеграции. Этот первоначальный шаг дал им точку опоры в системе.
  2. Кража токенов OAuth: Оказавшись внутри систем, злоумышленники нацелились на токены OAuth, которые Klue использовала для подключения к сторонним сервисам (таким как Salesforce и Gong) от имени своих клиентов. OAuth — это стандарт авторизации, который позволяет одному приложению выполнять определенные действия от имени другого. Эти токены подобны цифровым ключам, которые обеспечивают межсистемный доступ без паролей.
  3. Доступ к среде Salesforce LastPass: Группа Icarus использовала украденный токен OAuth, принадлежащий LastPass, для доступа к среде Salesforce компании, где она управляет данными клиентов, как если бы это было авторизованное приложение. Через этот доступ они похитили перечисленные выше данные клиентов.

Группа Icarus, взявшая на себя ответственность за атаку, с помощью этого метода нацелилась не только на LastPass, но и на многих других клиентов Klue. Группа утверждает, что начала кампанию вымогательства, используя полученные данные. Такие атаки еще раз показывают, что компании должны учитывать не только собственную безопасность, но и уровень безопасности всех своих деловых партнеров. Последние новости об утечках показывают, что атаки на цепочку поставок представляют собой постоянно растущую угрозу.

Кто пострадал

Непосредственно пострадали клиенты, чья личная и деловая информация, перечисленная выше, хранилась в системе Salesforce LastPass. Однако масштаб этого инцидента не ограничивается LastPass. Поскольку источником атаки была платформа Klue, многие другие известные компании, использующие эту платформу, также находятся в зоне риска. Согласно заявлениям группы Icarus и отчетам сообщества по кибербезопасности, среди других организаций, пострадавших от утечки в Klue, числятся:

  • Recorded Future
  • Tanium
  • Jamf
  • Sprout Social
  • Gong
  • Insurity

Это демонстрирует широкомасштабные последствия уязвимости в Klue. Каждой из перечисленных компаний пришлось провести собственное расследование, чтобы определить, подверглись ли риску данные в их Salesforce или других интегрированных системах. Этот инцидент является наглядным примером того, как одна уязвимость у поставщика услуг может вызвать эффект домино, затронув десятки его клиентов.

Что вы можете сделать

Хотя хранилища паролей пользователей LastPass в безопасности, им необходимо быть осторожными из-за утечки персональных данных. Злоумышленники могут использовать эту информацию, чтобы обмануть вас. Вот меры предосторожности, которые следует предпринять:

  • Остерегайтесь фишинговых атак: Злоумышленники, знающие ваше имя, адрес электронной почты и номер телефона, могут отправлять очень убедительные поддельные электронные письма или SMS-сообщения, которые выглядят как от LastPass. В этих сообщениях может использоваться ощущение срочности с фразами вроде "обнаружена подозрительная активность в вашей учетной записи" или "вам необходимо сбросить пароль". Никогда не переходите по ссылкам и не загружайте вложения в таких сообщениях.
  • Никогда не делитесь своим мастер-паролем: LastPass или любая другая компания никогда не попросит ваш мастер-пароль по электронной почте, телефону или любым другим способом. Ваш мастер-пароль — это единственный ключ к вашему хранилищу, и он принадлежит только вам.
  • Используйте официальные каналы связи: Если вам нужно связаться с LastPass, используйте только каналы поддержки, предоставляемые через их официальный веб-сайт или приложение.
  • Остерегайтесь подозрительных доменов: LastPass предупредила, что злоумышленники могут использовать домены, такие как baccarat.com[.]au, robinskitchen.com[.]au и house[.]com.au, для мошеннических сообщений. Не доверяйте письмам от этих и подобных подозрительных отправителей.

Что говорит компания

LastPass объявила, что предприняла ряд мер с момента получения информации об инциденте. Согласно официальному заявлению компании, были предприняты следующие шаги:

"12 июня LastPass была проинформирована об инциденте, произошедшем в Klue (klue.com), сторонней платформе для анализа рынка, используемой нашими командами по выходу на рынок, которая интегрируется с нашими системами Salesforce и Gong. Мы немедленно начали расследование и узнали, что в рамках этого инцидента неавторизованный субъект смог получить токены OAuth, которые Klue хранила для многих своих клиентов, включая LastPass."

После этого заявления LastPass сообщила, что предприняла следующие действия:

  • Немедленно отключила доступ сотрудников к платформе Klue.
  • Оперативно отозвала и заменила скомпрометированные токены API/OAuth.
  • Сообщила об инциденте в соответствующие правоохранительные органы.
  • Проводит постоянное расследование с экспертами по кибербезопасности для выявления всех аспектов инцидента.

LastPass подчеркнула, что будет продолжать информировать своих пользователей в соответствии с принципом прозрачности и работает над усилением своих мер безопасности.

Источник

https://www.bleepingcomputer.com/news/security/lastpass-confirms-data-breach-in-klue-supply-chain-attack/

Поделиться статьёй
X LinkedIn WhatsApp
← Предыдущая статья Канадский поставщик электроэнергии London Hydro сообщил об утечке данных Следующая статья → Утечка данных Xsolis затронула 1,4 миллиона человек

Еженедельная рассылка

Отборные новости об утечках данных каждую неделю в вашем почтовом ящике.