En busca de la verdad
En busca de la verdad
La compañía informó que se filtraron nombres, teléfonos, correos, direcciones y datos de soporte y ventas. Aclaró que sus productos e infraestructura no fueron afectados.
LastPass confirmó la filtración de algunos datos de sus clientes luego de una brecha de seguridad en Klue, una plataforma de inteligencia de mercado que se integra con sus sistemas de Salesforce y Gong.
Según informó la compañía, los datos expuestos incluyen nombres, números de teléfono, correos electrónicos, direcciones físicas e información vinculada a casos de soporte y procesos comerciales.
El incidente se originó el 12 de junio, cuando Klue detectó actividad no autorizada en parte de su infraestructura de integración. La investigación determinó que los atacantes utilizaron una credencial heredada comprometida para obtener tokens OAuth, empleados para conectar la plataforma con servicios de terceros.
Con esos tokens, los ciberdelincuentes pudieron acceder a entornos de clientes conectados a Klue, entre ellos LastPass. En el caso del gestor de contraseñas, el acceso se produjo dentro del entorno de Salesforce.
LastPass aclaró que el alcance del incidente se limita únicamente a los sistemas integrados con la aplicación de Klue. En ese sentido, remarcó que sus productos, servicios e infraestructura principal no fueron afectados.
La empresa también aseguró que las bóvedas de contraseñas de los clientes permanecen seguras y que no hay evidencias de acceso a datos vinculados con Gong.
Tras detectar el problema, LastPass suspendió el acceso de sus empleados a Klue, rotó los tokens de API expuestos y trabajó junto con Klue y Salesforce para mitigar el impacto.
La filtración también afectó a otras compañías, entre ellas HackerOne, Recorded Future y Tanium. Klue informó que revocó las credenciales comprometidas, eliminó código no autorizado y desactivó integraciones potencialmente afectadas.
Según medios especializados, el grupo que se atribuyó el ataque se identifica como Icarus y habría amenazado con publicar los datos robados si no recibe un pago de rescate.
En este contexto, LastPass recomendó a sus usuarios mantenerse atentos ante posibles intentos de phishing o ingeniería social, ya que los atacantes podrían utilizar los datos de contacto expuestos para realizar engaños personalizados.
El caso vuelve a poner bajo la lupa a LastPass, que ya había sufrido una filtración en 2022. En aquella oportunidad, los ciberdelincuentes accedieron a datos cifrados de bóvedas de clientes, incluidas contraseñas maestras encriptadas.
