Компания LastPass сообщила, что злоумышленники использовали токены OAuth, похищенные в результате атаки на цепочку поставок, направленной против Klue — платформы рыночной аналитики, интегрированной с системами CRM и инструментами продаж в различных организациях, — для получения доступа к данным клиентов, хранящимся в среде Salesforce.
12 июня компания LastPass была проинформирована об инциденте, произошедшем в Klue (klue.com) — сторонней платформе рыночной аналитики, используемой нашими командами по выводу продуктов на рынок и интегрированной с нашими системами Salesforce и Gong. Мы немедленно начали расследование и выяснили, что в ходе этого инцидента неавторизованный злоумышленник смог получить токены OAuth, которые Klue хранила для многих своих клиентов, включая LastPass.
— сообщила LastPass
Компания заявила, что инцидент ограничился системами, интегрированными с платформой Klue, и не затронул её продукты, услуги, инфраструктуру или хранилища данных клиентов.
По данным LastPass, среди утечённых данных были стандартные деловые контактные данные и записи CRM, включая имена клиентов, номера телефонов, адреса электронной почты, физические адреса, информацию по запросам в службу поддержки и записи, связанные с продажами.
LastPass предупредила, что утечённые контактные данные могут быть использованы в фишинговых атаках или атаках с использованием социальной инженерии, и призвала клиентов с осторожностью относиться к незапрашиваемым электронным письмам, телефонным звонкам или запросам конфиденциальной информации, добавив, что никогда не будет запрашивать у пользователей их мастер-пароли.
Обнаружив утечку, LastPass аннулировала доступ сотрудников к Klue, обновила уязвимые токены API и начала расследование совместно с Klue и Salesforce. Компания также уведомила правоохранительные органы и опубликовала индикаторы компрометации, включая IP-адреса и домены отправителей электронной почты.
Ранее LastPass уже сталкивалась с крупной утечкой в 2022 году, когда злоумышленники похитили резервные копии хранилищ паролей клиентов. Три года спустя исследователи из TRM Labs установили связь между кражами криптовалюты и учетными данными, восстановленными из некоторых похищенных хранилищ, причем доказательства в блокчейне указывают на возможное участие русскоговорящих злоумышленников.
Утечка данных в Klue вызвала раскрытие информации поставщиками решений безопасности
На прошлой неделе поставщик решений для кибербезопасности Huntress признал, что оказался в числе нескольких компаний, пострадавших от утечки, источником которой стала компания Klue.
18 июня Huntress опубликовала подробный отчет об инциденте, охарактеризовав его как «эффект домино» в сфере безопасности, который начался с компрометации учетных данных интеграции и привел к краже данных клиентов с нескольких подключенных платформ, включая Salesforce.
Ряд других поставщиков решений для обеспечения безопасности, в том числе Recorded Future, Tanium и Jamf, также сообщили о своей вовлеченности в инцидент и опубликовали заявления с подробным описанием того, как они пострадали.
Группа вымогателей под названием Icarus, действующая с конца апреля 2026 года, взяла на себя ответственность за атаку на своем сайте, посвященном утечкам данных.
«Судя по результатам нашего расследования на данный момент, инцидент ограничился затронутыми сторонними платформами, и нет никаких доказательств того, что контент клиентов, хранящийся на платформе Klue, был затронут»
— отметил генеральный директор Klue Джейсон Смит
«Мы осознаем, что клиенты полагаются на Klue для безопасного подключения к своим системам, и понимаем всю серьезность этой ответственности».
«С момента выявления инцидента мы поддерживаем прямую связь с затронутыми клиентами, делимся результатами расследования и оказываем поддержку в их мерах по устранению последствий. Конкретные рекомендации по устранению последствий были переданы непосредственно затронутым клиентам», — заключил Смит.
По данным Klue, инцидент был связан с учетными данными, созданными для ограниченного пилотного проекта в 2022 году, которые позже были использованы злоумышленниками для доступа к данным клиентов.
Злоумышленник, вероятно, продолжит публиковать данные компаний, которые он скомпрометировал в результате взлома Klue. Icarus, вероятно, также продолжит оказывать давление на пострадавшие организации, требуя выкупа в обмен на отказ от публикации их данных, заявила Хантресс.
Klue не сообщила, вступала ли она в контакт с хакерами или планирует вести с ними переговоры.
Комментарии (0)