Данные LastPass утекли из-за атаки на Klue

Что произошло

LastPass, одно из самых узнаваемых имен в управлении паролями, снова оказалось в центре внимания из-за крупного инцидента в области кибербезопасности. В заявлении от 24 июня 2026 года компания подтвердила, что данные клиентов утекли в результате кибератаки на партнерскую платформу Klue. Атака была осуществлена с использованием метода атаки на цепочку поставок, который считается одной из самых опасных киберугроз последних лет. Хотя инцидент не был прямой атакой на системы LastPass, он поставил под угрозу клиентов компании из-за уязвимости у доверенного партнера. Компания заявила, что узнала о ситуации 12 июня и немедленно начала расследование. Этот случай еще раз демонстрирует, что какой бы надежной ни была собственная безопасность компании, самое слабое звено в ее экосистеме может угрожать всей структуре. Чтобы следить за последними новостями по этой теме, вы можете посетить страницу Новости об утечках.

Какие данные были украдены

LastPass четко ответила на самый животрепещущий вопрос пользователей после утечки: хранилища паролей клиентов (vaults) не были затронуты этой атакой. Согласно заявлению компании, злоумышленники не смогли проникнуть в продукты, сервисы или основную инфраструктуру LastPass. Это означает, что пароли, заметки и другая конфиденциальная информация, хранящаяся у пользователей, остаются в безопасности. Однако это не означает, что утечка незначительна.

Данные, к которым получили доступ злоумышленники, состоят из записей, хранящихся в среде Salesforce компании LastPass. Эти данные включают:

• Деловая контактная информация: Имена клиентов, номера телефонов, адреса электронной почты и физические почтовые адреса.
• Записи CRM: Информация о запросах в службу поддержки и записи, связанные с продажами, хранящиеся в системе управления взаимоотношениями с клиентами (CRM).

Хотя такие данные могут не привести к прямым финансовым потерям, они могут быть очень опасны косвенно. Злоумышленники могут использовать эту информацию для проведения целевых фишинговых и атак с использованием социальной инженерии. Например, они могут отправлять поддельные электронные письма, якобы от LastPass, чтобы обманом заставить клиентов раскрыть свои мастер-пароли или другую личную информацию. Вы можете использовать наш инструмент Поиск утечки данных, чтобы узнать, была ли ваша личная информация скомпрометирована в этой или любой другой утечке.

Как произошла атака

В центре атаки находится Klue, платформа для анализа рынка, используемая отделами маркетинга и продаж LastPass. Klue интегрируется с инструментами CRM и продаж, такими как Salesforce и Gong, для предоставления компаниям услуг конкурентного анализа. Эта интеграция осуществляется с помощью протокола авторизации под названием OAuth. Токены OAuth подобны цифровым ключам, которые позволяют одному приложению (Klue) получать доступ к данным в другом приложении (Salesforce) в рамках определенного набора разрешений, не зная пароля пользователя.

Злоумышленники взломали системы Klue и украли эти токены OAuth. Среди украденных токенов были и те, что принадлежали LastPass. Используя эти токены, злоумышленники получили доступ к данным клиентов в среде Salesforce компании LastPass в рамках разрешений, предоставленных Klue. Этот метод является классическим примером атаки на цепочку поставок: злоумышленники нацелились не на основную цель (LastPass) напрямую, а на ее потенциально менее защищенного партнера (Klue), чтобы косвенно достичь своей цели.

Фирма по кибербезопасности Huntress описала этот инцидент как «эффект домино в безопасности». Процесс, начавшийся с кражи учетных данных для интеграции, вызвал цепную реакцию, приведшую к краже данных с нескольких подключенных платформ.

Кто пострадал

Последствия этой атаки на цепочку поставок не ограничиваются только LastPass. Многие компании из клиентского портфеля Klue пострадали от этой утечки. Помимо LastPass, некоторые ведущие фирмы в индустрии кибербезопасности также подтвердили, что они были затронуты утечкой Klue. Среди этих компаний Huntress, Recorded Future, Tanium и Jamf. Каждая из этих фирм опубликовала отдельные заявления с подробным описанием того, как они пострадали.

Ответственность за атаку взяла на себя вымогательская группа, известная как «Icarus», действующая с конца апреля 2026 года. Группа объявила об атаке на своем сайте утечек данных. Это вызывает опасения, что украденные данные могут быть выставлены на продажу в злонамеренных целях или использованы для дальнейших атак в ближайшие дни.

Что вы можете сделать

Хотя хранилища паролей пользователей LastPass в безопасности, им необходимо быть осторожными из-за утечки контактной информации. Вот шаги, которые вы можете предпринять:

• Будьте бдительны в отношении фишинговых атак: Относитесь с подозрением к электронным письмам, SMS-сообщениям или телефонным звонкам, якобы от LastPass или любого другого поставщика услуг. Будьте особенно осторожны с сообщениями, которые просят вас срочно перейти по ссылке, загрузить файл или подтвердить вашу личную информацию.
• Никогда не делитесь своим мастер-паролем: LastPass никогда и ни при каких обстоятельствах не будет запрашивать ваш мастер-пароль по электронной почте или любым другим способом. Любой запрос этой информации является мошенничеством.
• Проверяйте контактную информацию: Если вы получили подозрительное электронное письмо, внимательно проверьте адрес отправителя. Не предпринимайте никаких действий, не убедившись, что оно пришло с официальных каналов связи LastPass.
• Используйте многофакторную аутентификацию (MFA): Включите MFA в своей учетной записи LastPass и во всех других онлайн-аккаунтах. Это дополнительный уровень безопасности, который предотвращает несанкционированный доступ к вашей учетной записи, даже если ваш пароль украден.

Что говорит компания

LastPass объявила, что приняла ряд немедленных мер после обнаружения инцидента. Согласно официальному заявлению компании, были предприняты следующие шаги:

• Начато расследование: Было немедленно начато внутреннее расследование совместно с Klue и Salesforce для выяснения масштабов и последствий инцидента.
• Доступ отозван: Весь доступ сотрудников к платформе Klue был немедленно отозван.
• Токены API обновлены: Все токены API (токены OAuth), которые предположительно были скомпрометированы в ходе утечки, были аннулированы и заменены.
• Правоохранительные органы уведомлены: О ситуации было сообщено в соответствующие юридические и правоохранительные органы.
• Индикаторы компрометации (IoC) опубликованы: Технические индикаторы, такие как IP-адреса и домены отправителей электронной почты, использованные в атаке, были опубликованы, чтобы помочь сообществу безопасности предотвратить подобные атаки.

Этот инцидент произошел после крупной утечки в LastPass в 2022 году, когда злоумышленники украли резервные копии хранилищ паролей клиентов. Спустя три года после этой утечки исследователи из TRM Labs обнаружили кражи криптовалюты, связанные с учетными данными, извлеченными из украденных хранилищ. Эта новая утечка снова ставит под сомнение репутацию компании в области безопасности.

Источник

https://www.helpnetsecurity.com/2026/06/24/lastpass-klue-data-breach-salesforce-environment/