AIO APEX
Security

LastPass confirme le vol de données clients lors d'une attaque sur la chaîne d'approvisionnement de Klue — 33 millions d'utilisateurs concernés

TechCrunch / BleepingComputer
Partager:
LastPass confirme le vol de données clients lors d'une attaque sur la chaîne d'approvisionnement de Klue — 33 millions d'utilisateurs concernés

LastPass a informé ses clients le 23 juin que des données personnelles et des enregistrements de support client avaient été volés à la suite d'une attaque sur la chaîne d'approvisionnement contre Klue, une plateforme d'intelligence économique utilisée par LastPass dans ses opérations de mise sur le marché. Des attaquants d'un groupe se faisant appeler Icarus ont obtenu des tokens OAuth que Klue détenait pour le compte de ses clients, les ont utilisés pour accéder à l'environnement Salesforce de LastPass et ont extrait des données clients avant que la brèche ne soit détectée. LastPass compte plus de 33 millions d'utilisateurs, bien que le nombre exact de clients affectés n'ait pas été divulgué.

Critiquement, la brèche n'a pas touché l'infrastructure centrale de LastPass ni les coffres-forts de mots de passe chiffrés qui stockent les mots de passe des utilisateurs. « L'infrastructure propre de l'entreprise n'a pas été affectée, y compris les coffres-forts de mots de passe des clients », a déclaré l'entreprise. Les données volées se limitent aux données de relation client et de support — le type de données conservé dans les outils de vente et de support, et non dans le produit de gestion de mots de passe lui-même.

Comment l'attaque s'est déroulée

La brèche remonte au 12 juin, lorsque le PDG de Klue, Jason Smith, a confirmé publiquement que des attaquants avaient obtenu des tokens OAuth que Klue détenait pour nombre de ses clients. Icarus est entré dans les systèmes de Klue via des identifiants hérités compromis pour un service d'intégration — une classe de vulnérabilité souvent négligée lorsque les organisations renouvellent les identifiants des comptes actifs mais laissent inchangés ceux du service d'intégration. Une fois à l'intérieur de l'infrastructure de Klue, les attaquants ont trouvé les tokens OAuth qui connectaient Klue aux environnements SaaS externes des clients, y compris les instances Salesforce et Gong.

LastPass était l'une des nombreuses entreprises dont l'environnement Salesforce était accessible via les tokens OAuth compromis de Klue. Parmi les autres victimes confirmées figurent HackerOne, Recorded Future, Tanium, Jamf, Sprout Social et Gong. Le schéma est le même pour chacune : un fournisseur disposant d'un accès OAuth étendu devient la surface d'attaque pour compromettre plusieurs organisations simultanément — une seule compromission qui donne accès à de nombreuses cibles.

Ce qui a été volé chez LastPass

Les données confirmées comme volées comprennent les noms des clients, numéros de téléphone, adresses e-mail, adresses physiques et le contenu des dossiers de support client. Cette dernière catégorie est significative : le contenu des dossiers de support peut inclure des détails sur la configuration du compte d'un utilisateur, les problèmes de sécurité passés et les étapes de dépannage — des informations qui pourraient être utiles pour des attaques d'ingénierie sociale ciblées contre les utilisateurs concernés.

LastPass n'a pas divulgué combien d'utilisateurs individuels ont été touchés. Le total de 33 millions d'utilisateurs de l'entreprise comprend un mélange de comptes gratuits et payants ; les données Salesforce exposées couvrent probablement les clients payants et les utilisateurs ayant contacté le support, et non l'ensemble de la base d'utilisateurs.

Icarus : l'acteur de la menace

Icarus est un groupe d'extorsion — il ne chiffre pas les systèmes des victimes à la manière des opérateurs de ransomware traditionnels. Au lieu de cela, il vole des données et menace de les publier à moins qu'une rançon ne soit payée. Le groupe a publiquement menacé de publier les données clients de LastPass si sa demande n'est pas satisfaite. Icarus est un groupe relativement récent avec un profil public antérieur limité, bien que la sophistication de l'attaque sur la chaîne d'approvisionnement de Klue — identifier et exploiter des tokens OAuth à travers plusieurs environnements clients à partir d'une seule compromission de fournisseur — suggère une opération expérimentée.

Ce que les utilisateurs de LastPass doivent faire

Étant donné que les coffres-forts de mots de passe n'ont pas été compromis, les utilisateurs n'ont pas besoin de changer leur mot de passe principal à la suite directe de cette brèche. Cependant, les informations de contact et les dossiers de support volés créent un risque de phishing significatif : les utilisateurs doivent être vigilants face aux e-mails ou appels ciblés prétendant provenir de LastPass et faisant référence à des détails spécifiques de compte. LastPass ne demandera pas aux utilisateurs leur mot de passe principal par e-mail ou téléphone ; toute demande de ce type doit être traitée comme une tentative de phishing, quelle que soit son apparence convaincante.

L'implication plus large concerne le risque lié aux fournisseurs tiers. LastPass n'a pas subi de brèche directe — ses propres systèmes n'ont pas été compromis. Elle a subi la brèche d'un fournisseur qui avait un accès OAuth à ses données clients, un vecteur d'attaque de plus en plus courant et difficile à défendre car les organisations accordent régulièrement des autorisations OAuth étendues aux outils SaaS sans surveillance continue de ce que ces tokens peuvent accéder.

supply-chainoauthdata-breachlastpassklueicarus

Originally reported by TechCrunch / BleepingComputer. Read the original article for additional details.

View original source
Partager: