LastPass подтвердил утечку клиентских данных через атаку на Klue и Salesforce-токены

LastPass подтвердил инцидент, связанный с атакой на стороннюю платформу Klue: злоумышленники получили доступ к части клиентских данных в Salesforce-среде LastPass после кражи OAuth-токенов. По данным BleepingComputer, компания узнала об инциденте 12 июня и начала расследование. LastPass подчёркивает, что его продукты, сервисы и основная инфраструктура не были затронуты, а пользовательские password vaults остались защищены.

Klue — это платформа market intelligence, которую go-to-market-команды LastPass использовали в связке с Salesforce и Gong. По заявлению LastPass, неавторизованный актор получил OAuth-токены, которые Klue хранила для многих клиентов, включая LastPass. Затем эти учётные данные применили для доступа к клиентской информации внутри Salesforce. Признаков доступа к Gong-данным, где обычно могут храниться клиентские звонки и переписка, расследование не выявило.

История важна как пример supply chain-риска за пределами классического вредоносного кода. Здесь атакующим не нужно было взламывать сам менеджер паролей или криптографию хранилищ: достаточно было скомпрометировать интеграционный слой у поставщика, который держал токены доступа к CRM. Такие OAuth-токены часто открывают удобный путь к данным продаж, контактам, метаданным клиентов и материалу для последующего фишинга или вымогательства.

Атаку на Klue взяла на себя группа Icarus. BleepingComputer пишет, что злоумышленники проникли в инфраструктуру Klue через скомпрометированные legacy-учётные данные интеграционного сервиса и получили доступ к OAuth-токенам, связывавшим Klue с внешними сервисами клиентов. Среди затронутых организаций ранее назывались Recorded Future, Tanium, Jamf, Sprout Social, Gong и Insurity. Целью кампании стали CRM-данные и последующее вымогательство.

LastPass сообщил, что отключил сотрудникам доступ к Klue, ротировал раскрытые API/OAuth-токены и уведомил правоохранительные органы. Пользователям и корпоративным клиентам стоит ожидать повышенного риска адресного фишинга: атакующие могут использовать CRM-контекст, имена, компании и историю взаимодействий, чтобы письма и звонки выглядели правдоподобнее. LastPass отдельно предупредил доверять только официальным каналам поддержки и не передавать master password никому — даже если обращение выглядит связанным с инцидентом.

Источник: BleepingComputer, 23 июня 2026