LastPass сообщила об утечке данных клиентов из-за взлома стороннего поставщика

Компания LastPass сообщила об инциденте безопасности, связанном со взломом стороннего поставщика — платформы конкурентной аналитики Klue. В результате атаки злоумышленники получили доступ к части клиентских данных, хранящихся в среде Salesforce.

По данным компании, о происшествии стало известно 12 июня. Расследование показало, что неизвестный злоумышленник получил OAuth-токены, которыми платформа Klue пользовалась для доступа к системам своих клиентов, включая LastPass. Используя эти токены, атакующий смог получить доступ к данным клиентов в Salesforce.

При этом LastPass подчёркивает, что инцидент затронул только системы, интегрированные с приложением Klue. Основные сервисы компании, инфраструктура и хранилища паролей пользователей (vaults) не пострадали.

Какие данные были скомпрометированы​

По информации компании, злоумышленники получили доступ к стандартным данным CRM-системы, включая:

• имена клиентов;
• адреса электронной почты;
• номера телефонов;
• физические адреса;
• данные обращений в техническую поддержку;
• информацию, связанную с продажами и взаимодействием с клиентами.

В LastPass отдельно отметили, что не обнаружили признаков доступа к данным, связанным с платформой Gong, которая также была интегрирована с Klue.

Что сделала компания​

После обнаружения инцидента команда безопасности LastPass выполнила ряд мер реагирования:

• полностью отключила доступ сотрудников к платформе Klue;
• отозвала и перевыпустила скомпрометированные API-токены;
• начала детальное расследование совместно с представителями Klue и Salesforce;
• уведомила правоохранительные органы и сотрудничает с ними.

Кроме того, подразделение TIME (Threat Intelligence, Mitigation, and Escalation) продолжает обмениваться информацией об атаке с представителями сообщества информационной безопасности и внедряет дополнительные меры защиты для предотвращения подобных инцидентов в будущем.

Рекомендации клиентам​

Компания предупредила клиентов о возможном росте числа фишинговых атак и попыток социальной инженерии, поскольку злоумышленники могли получить контактную информацию пользователей.

LastPass рекомендует с осторожностью относиться к любым неожиданным письмам, телефонным звонкам и запросам конфиденциальной информации.

Компания также напомнила, что сотрудники LastPass никогда не запрашивают мастер-пароль пользователя.

Индикаторы компрометации​

В рамках уведомления LastPass опубликовала ряд индикаторов компрометации (IoC), связанных с атакой.

Использовавшиеся IP-адреса:

• 138.226.246.94
• 94.154.32.160
• 159.183.215.61
• 159.183.181.239

Также были зафиксированы следующие домены отправителей электронных писем:

• baccarat.com.au
• robinskitchen.com.au
• house.com.au

Почему это важно​

Это уже не первый крупный инцидент безопасности в истории LastPass. Хотя в этот раз хранилища паролей и инфраструктура компании не были затронуты, компрометация CRM-данных создаёт дополнительные риски для клиентов, поскольку полученная информация может использоваться в целевых фишинговых кампаниях и атаках социальной инженерии.

Источник