LastPass يؤكد سرقة بيانات العملاء في هجوم على سلسلة التوريد لشركة Klue — تضرر 33 مليون مستخدم
أبلغت LastPass العملاء في 23 يونيو أن البيانات الشخصية وسجلات دعم العملاء سُرقت بعد هجوم على سلسلة التوريد ضد Klue، وهي منصة استخبارات سوقية تستخدمها LastPass في عملياتها التجارية. حصل مهاجمون من مجموعة تسمي نفسها Icarus على رموز OAuth التي احتفظت بها Klue نيابة عن عملائها، واستخدموها للوصول إلى بيئة Salesforce الخاصة بـ LastPass، واستخرجوا بيانات العملاء قبل اكتشاف الاختراق. لدى LastPass أكثر من 33 مليون مستخدم، رغم أن العدد الدقيق للعملاء المتأثرين لم يُكشف عنه.
والأهم أن الاختراق لم يمس البنية التحتية الأساسية لـ LastPass أو خزائن كلمات المرور المشفرة التي تخزن كلمات مرور المستخدمين. صرحت الشركة: "البنية التحتية للشركة نفسها لم تتأثر، بما في ذلك خزائن كلمات مرور العملاء". البيانات المسروقة تقتصر على بيانات علاقات العملاء والدعم — النوع المحتفظ به في أدوات المبيعات والدعم، وليس في منتج إدارة كلمات المرور نفسه.
كيف وقع الهجوم
يعود أصل الاختراق إلى 12 يونيو، حين أكد جيسون سميث، الرئيس التنفيذي لـ Klue، علنًا أن المهاجمين حصلوا على رموز OAuth التي احتفظت بها Klue للعديد من عملائها. دخلت Icarus أنظمة Klue من خلال بيانات اعتماد قديمة مخترقة لخدمة تكامل — وهي فئة من الثغرات غالبًا ما تُغفل عندما تقوم المؤسسات بتدوير بيانات اعتماد الحسابات النشطة لكنها تترك بيانات اعتماد خدمة التكامل دون تغيير. وبمجرد دخول البنية التحتية لـ Klue، وجد المهاجمون رموز OAuth التي تربط Klue ببيئات SaaS الخارجية للعملاء، بما في ذلك حالات Salesforce وGong.
كانت LastPass واحدة من عدة شركات يمكن الوصول إلى بيئات Salesforce الخاصة بها عبر رموز OAuth المخترقة لـ Klue. الضحايا المؤكدون الآخرون يشملون HackerOne وRecorded Future وTanium وJamf وSprout Social وGong. النمط واحد لكل منهم: بائع لديه وصول واسع عبر OAuth يصبح سطح هجوم لاختراق عدة مؤسسات في وقت واحد — اختراق واحد يمنح الوصول إلى أهداف عديدة.
ما الذي سرق من LastPass
البيانات المؤكد سرقتها تشمل أسماء العملاء وأرقام الهواتف وعناوين البريد الإلكتروني والعناوين الفعلية ومحتويات سجلات حالات الدعم للعملاء. هذه الفئة الأخيرة مهمة: محتويات حالات الدعم يمكن أن تتضمن تفاصيل حول تكوين حساب المستخدم، ومخاوف أمنية سابقة، وخطوات استكشاف الأخطاء — معلومات قد تكون مفيدة لشن هجمات هندسة اجتماعية مستهدفة ضد المستخدمين المتضررين.
لم تكشف LastPass عن عدد المستخدمين الأفراد المتضررين. إجمالي 33 مليون مستخدم للشركة يشمل مزيجًا من الحسابات المجانية والمدفوعة؛ بيانات Salesforce المكشوفة تغطي على الأرجح العملاء المدفوعين والمستخدمين الذين اتصلوا بالدعم، وليس قاعدة المستخدمين بأكملها.
Icarus: الجهة المهددة
Icarus هي مجموعة ابتزاز — لا تقوم بتشفير أنظمة الضحايا على غرار مشغلي برامج الفدية التقليديين. بدلاً من ذلك، تسرق البيانات وتهدد بنشرها ما لم يُدفع فدية. هددت المجموعة علنًا بنشر بيانات عملاء LastPass إذا لم يتم تلبية مطالبها. Icarus مجموعة حديثة نسبيًا لها ملف عام محدود سابقًا، رغم أن تعقيد هجوم سلسلة التوريد على Klue — تحديد واستغلال رموز OAuth عبر بيئات عملاء متعددة من اختراق بائع واحد — يشير إلى عملية ذات خبرة.
ما الذي يجب على مستخدمي LastPass فعله
نظرًا لأن خزائن كلمات المرور لم تُخترق، لا يحتاج المستخدمون إلى تغيير كلمات المرور الرئيسية كنتيجة مباشرة لهذا الاختراق. لكن، معلومات الاتصال وسجلات حالات الدعم المسروقة تخلق خطر تصيدًا كبيرًا: يجب على المستخدمين الحذر من رسائل البريد الإلكتروني أو المكالمات المستهدفة التي تدعي أنها من LastPass وتشير إلى تفاصيل حساب محددة. لن تطلب LastPass من المستخدمين كلمة المرور الرئيسية عبر البريد الإلكتروني أو الهاتف؛ يجب التعامل مع أي طلب من هذا القبيل على أنه محاولة تصيد بغض النظر عن مدى إقناعه.
الآثار الأوسع تتعلق بمخاطر البائعين الخارجيين. LastPass لم تتعرض لاختراق مباشر — أنظمتها الخاصة لم تُخترق. بل تعرضت لاختراق بائع كان لديه وصول OAuth إلى بيانات عملائها، وهو ناقل هجوم أصبح شائعًا بشكل متزايد ويصعب الدفاع ضده لأن المؤسسات تمنح بانتظام أذونات OAuth واسعة لأدوات SaaS دون مراقبة مستمرة لما يمكن لتلك الرموز الوصول إليه.
Originally reported by TechCrunch / BleepingComputer. Read the original article for additional details.
View original source