AIO APEX
Security

LastPass confirma robo de datos de clientes en un ataque a la cadena de suministro de Klue: 33 millones de usuarios afectados

TechCrunch / BleepingComputer
Compartir:
LastPass confirma robo de datos de clientes en un ataque a la cadena de suministro de Klue: 33 millones de usuarios afectados

LastPass notificó a los clientes el 23 de junio que datos personales y registros de soporte al cliente fueron robados tras un ataque a la cadena de suministro contra Klue, una plataforma de inteligencia de mercado que LastPass utiliza en sus operaciones de comercialización. Atacantes de un grupo que se hace llamar Icarus obtuvieron tokens OAuth que Klue mantenía en nombre de sus clientes, los usaron para acceder al entorno Salesforce de LastPass y extrajeron datos de clientes antes de que se detectara la brecha. LastPass tiene más de 33 millones de usuarios, aunque no se ha revelado el número exacto de clientes afectados.

De manera crítica, la brecha no afectó la infraestructura central de LastPass ni las bóvedas de contraseñas cifradas que almacenan las contraseñas de los usuarios. "La propia infraestructura de la empresa no se vio afectada, incluidas las bóvedas de contraseñas de los clientes", declaró la empresa. Los datos robados se limitan a datos de relación con el cliente y soporte, el tipo de datos que se mantienen en herramientas de ventas y soporte, no en el producto de gestión de contraseñas en sí.

Cómo se desarrolló el ataque

La brecha se remonta al 12 de junio, cuando el CEO de Klue, Jason Smith, confirmó públicamente que los atacantes habían obtenido tokens OAuth que Klue mantenía para muchos de sus clientes. Icarus entró en los sistemas de Klue a través de credenciales heredadas comprometidas para un servicio de integración, una clase de vulnerabilidad que a menudo se pasa por alto cuando las organizaciones rotan las credenciales de cuentas activas pero dejan sin cambios las credenciales del servicio de integración. Una vez dentro de la infraestructura de Klue, los atacantes encontraron los tokens OAuth que conectaban a Klue con los entornos SaaS externos de los clientes, incluidas instancias de Salesforce y Gong.

LastPass fue una de varias empresas cuyos entornos Salesforce eran accesibles a través de los tokens OAuth comprometidos de Klue. Otras víctimas confirmadas incluyen HackerOne, Recorded Future, Tanium, Jamf, Sprout Social y Gong. El patrón es el mismo para cada una: un proveedor con amplio acceso OAuth se convierte en la superficie de ataque para vulnerar múltiples organizaciones simultáneamente, un único compromiso que otorga acceso a muchos objetivos.

Qué se robó de LastPass

Los datos confirmados como robados incluyen nombres de clientes, números de teléfono, direcciones de correo electrónico, direcciones físicas y el contenido de los registros de casos de soporte al cliente. Esta última categoría es significativa: el contenido de los casos de soporte puede incluir detalles sobre la configuración de la cuenta de un usuario, problemas de seguridad pasados y pasos de solución de problemas, información que podría ser útil para ataques de ingeniería social dirigidos contra los usuarios afectados.

LastPass no ha revelado cuántos usuarios individuales se vieron afectados. Los 33 millones de usuarios totales de la empresa incluyen una mezcla de cuentas gratuitas y de pago; los datos de Salesforce expuestos probablemente cubren a los clientes de pago y a los usuarios que han contactado con soporte, no a la base de usuarios completa.

Icarus: el actor de amenaza

Icarus es un grupo de extorsión — no cifra los sistemas de las víctimas al estilo de los operadores de ransomware tradicionales. En su lugar, roba datos y amenaza con publicarlos a menos que se pague un rescate. El grupo ha amenazado públicamente con publicar los datos de los clientes de LastPass si no se cumple su exigencia. Icarus es un grupo relativamente reciente con un perfil público previo limitado, aunque la sofisticación del ataque a la cadena de suministro de Klue — identificar y explotar tokens OAuth en múltiples entornos de clientes a partir de un único compromiso de proveedor — sugiere una operación experimentada.

Qué deben hacer los usuarios de LastPass

Debido a que las bóvedas de contraseñas no se vieron comprometidas, los usuarios no necesitan cambiar sus contraseñas maestras como resultado directo de esta brecha. Sin embargo, la información de contacto y los registros de casos de soporte robados crean un riesgo significativo de phishing: los usuarios deben estar alerta ante correos electrónicos o llamadas dirigidas que afirmen ser de LastPass y hagan referencia a detalles específicos de la cuenta. LastPass no solicitará a los usuarios su contraseña maestra por correo electrónico o teléfono; cualquier solicitud de este tipo debe tratarse como un intento de phishing, por convincente que parezca.

La implicación más amplia se refiere al riesgo de proveedores externos. LastPass no sufrió una brecha directa — sus propios sistemas no se vieron comprometidos. Sufrió la brecha de un proveedor que tenía acceso OAuth a sus datos de clientes, un vector de ataque que es cada vez más común y difícil de defender porque las organizaciones otorgan rutinariamente permisos OAuth amplios a herramientas SaaS sin un monitoreo continuo de a qué pueden acceder esos tokens.

supply-chainoauthdata-breachlastpassklueicarus

Originally reported by TechCrunch / BleepingComputer. Read the original article for additional details.

View original source
Compartir: