AIO APEX
Security

LastPass confirma roubo de dados de clientes em ataque à cadeia de suprimentos da Klue — 33 milhões de usuários afetados

TechCrunch / BleepingComputer
Compartilhar:
LastPass confirma roubo de dados de clientes em ataque à cadeia de suprimentos da Klue — 33 milhões de usuários afetados

A LastPass notificou os clientes em 23 de junho que dados pessoais e registros de suporte ao cliente foram roubados após um ataque à cadeia de suprimentos contra a Klue, uma plataforma de inteligência de mercado que a LastPass usa em suas operações de go-to-market. Atacantes de um grupo que se autodenomina Icarus obtiveram tokens OAuth que a Klue mantinha em nome de seus clientes, usaram-nos para acessar o ambiente Salesforce da LastPass e extraíram dados de clientes antes que a violação fosse detectada. A LastPass tem mais de 33 milhões de usuários, embora o número exato de clientes afetados não tenha sido divulgado.

Criticamente, a violação não afetou a infraestrutura central da LastPass nem os cofres de senhas criptografados que armazenam as senhas dos usuários. "A própria infraestrutura da empresa não foi afetada, incluindo os cofres de senhas dos clientes", afirmou a empresa. Os dados roubados se limitam a dados de relacionamento com o cliente e suporte — o tipo de dados mantido em ferramentas de vendas e suporte, não no próprio produto de gerenciamento de senhas.

Como o ataque ocorreu

A violação remonta a 12 de junho, quando o CEO da Klue, Jason Smith, confirmou publicamente que atacantes haviam obtido tokens OAuth que a Klue mantinha para muitos de seus clientes. A Icarus entrou nos sistemas da Klue por meio de credenciais legadas comprometidas de um serviço de integração — uma classe de vulnerabilidade frequentemente negligenciada quando as organizações rotacionam credenciais de contas ativas, mas deixam as credenciais do serviço de integração inalteradas. Uma vez dentro da infraestrutura da Klue, os atacantes encontraram os tokens OAuth que conectavam a Klue aos ambientes SaaS externos dos clientes, incluindo instâncias do Salesforce e Gong.

A LastPass foi uma das várias empresas cujos ambientes Salesforce estavam acessíveis por meio dos tokens OAuth comprometidos da Klue. Outras vítimas confirmadas incluem HackerOne, Recorded Future, Tanium, Jamf, Sprout Social e Gong. O padrão é o mesmo para cada uma: um fornecedor com amplo acesso OAuth torna-se a superfície de ataque para violar várias organizações simultaneamente — um único comprometimento que concede acesso a muitos alvos.

O que foi roubado da LastPass

Os dados confirmados como roubados incluem nomes de clientes, números de telefone, endereços de e-mail, endereços físicos e o conteúdo dos registros de casos de suporte ao cliente. Essa última categoria é significativa: o conteúdo dos casos de suporte pode incluir detalhes sobre a configuração da conta de um usuário, preocupações de segurança passadas e etapas de solução de problemas — informações que podem ser úteis para ataques de engenharia social direcionados contra os usuários afetados.

A LastPass não divulgou quantos usuários individuais foram afetados. O total de 33 milhões de usuários da empresa inclui uma mistura de contas gratuitas e pagas; os dados do Salesforce expostos provavelmente cobrem clientes pagantes e usuários que entraram em contato com o suporte, e não a base completa de usuários.

Icarus: o ator de ameaça

Icarus é um grupo de extorsão — ele não criptografa os sistemas das vítimas à maneira dos operadores de ransomware tradicionais. Em vez disso, rouba dados e ameaça publicá-los a menos que um resgate seja pago. O grupo ameaçou publicamente divulgar os dados dos clientes da LastPass se sua exigência não for atendida. A Icarus é um grupo relativamente recente com perfil público anterior limitado, embora a sofisticação do ataque à cadeia de suprimentos da Klue — identificar e explorar tokens OAuth em vários ambientes de clientes a partir de um único comprometimento de fornecedor — sugira uma operação experiente.

O que os usuários da LastPass devem fazer

Como os cofres de senhas não foram comprometidos, os usuários não precisam alterar suas senhas mestras como resultado direto dessa violação. No entanto, as informações de contato e os registros de casos de suporte roubados criam um risco significativo de phishing: os usuários devem ficar atentos a e-mails ou ligações direcionadas que afirmem ser da LastPass e façam referência a detalhes específicos da conta. A LastPass não solicitará aos usuários sua senha mestra por e-mail ou telefone; qualquer solicitação desse tipo deve ser tratada como uma tentativa de phishing, independentemente de quão convincente pareça.

A implicação mais ampla é sobre o risco de fornecedores terceiros. A LastPass não sofreu uma violação direta — seus próprios sistemas não foram comprometidos. Ela sofreu a violação de um fornecedor que tinha acesso OAuth aos seus dados de clientes, um vetor de ataque cada vez mais comum e difícil de defender porque as organizações rotineiramente concedem permissões OAuth amplas a ferramentas SaaS sem monitoramento contínuo do que esses tokens podem acessar.

supply-chainoauthdata-breachlastpassklueicarus

Originally reported by TechCrunch / BleepingComputer. Read the original article for additional details.

View original source
Compartilhar: