LastPass: furto di dati dopo accesso ai sistemi di Klue

LastPass ha confermato il furto di alcune informazioni personali degli utenti durante un attacco informatico contro Klue, azienda canadese specializzata in market intelligence. Ignoti cybercriminali sono riusciti ad accedere al CRM Salesforce usato per conservare i dati di molti clienti.

Intrusione con token OAuth

I data breach che riguardano LastPass sono abbastanza numerosi, ma stavolta è colpa di un partner. Come riportato da Bleeping Computer, i cybercriminali del gruppo Icarus hanno sfruttato i token OAuth che permettono di collegare l’app Klue Battlecards alle istanze Salesforce.

Il CEO di Klue ha spiegato che i token sono stati ottenuti il 12 giugno tramite vecchie credenziali compromesse. I cybercriminali hanno quindi esfiltrato dal CRM (Customer Relationship Management) i dati di molti clienti, tra cui LastPass. Klue ha revocato credenziali e token, rimosso il codice non autorizzato e disattivato l’integrazione con le istanze Salesforce.

LastPass ha confermato il furto dei dati di alcuni utenti, tra cui nome, indirizzo email, numero di telefono e indirizzo di residenza, oltre alle informazioni relative a supporto e vendita. Nei prossimi giorni verranno identificati e contattati gli utenti interessati, ma ormai “i buoi sono già scappati dalla stalla”.

I dati rubati possono essere utilizzati per attacchi di phishing e ingegneria sociale o venduti al miglior offerente. I cybercriminali potrebbero ad esempio inviare avvisi che sembrano provenire da LastPass con lo scopo di ottenere la master password che protegge la cassaforte (vault) delle credenziali.

È necessario prestare molta attenzione ai messaggi ricevuti. Non deve essere cliccato su nessun link. LastPass ricorda che non chiede mai la master password agli utenti. Non è noto il numero di clienti interessati dal data breach di Klue, né la somma chiesta dal gruppo Icarus per evitare la divulgazione dei dati.