LastPass a annoncé que des pirates informatiques ont accédé à des données clients dans son environnement Salesforce. Ils ont obtenu cet accès après avoir volé les jetons OAuth de l’entreprise lors de l’attaque de la chaîne d’approvisionnement Klue au début du mois.
La plateforme de gestion de mots de passe affirme que ses produits, ses services et son infrastructure n’ont pas été touchés. Les coffres-forts des clients sont restés sécurisés.
Le 12 juin, LastPass a été informé d’un incident survenu chez Klue, une plateforme tierce de renseignement marketing utilisée par ses équipes commerciales. Cette plateforme est intégrée aux systèmes Salesforce et Gong de l’entreprise.
Une enquête a été ouverte immédiatement. Elle a révélé qu’un acteur non autorisé avait pu s’emparer des jetons OAuth que Klue détenait pour nombre de ses clients, dont LastPass.
Le cybercriminel a ensuite utilisé ces identifiants pour accéder aux données des clients de LastPass dans l’environnement Salesforce.
L’enquête n’a pas trouvé de preuve que l’attaquant ait accédé aux données liées à Gong, qui comprennent généralement les appels et les emails clients.
Selon LastPass, les informations suivantes ont pu être exposées :
- Noms de clients
- Numéros de téléphone
- Adresses email
- Adresses postales
- Informations sur les tickets de support
- Données liées aux ventes et à la relation client
Les pirates pourraient exploiter ces informations pour mener des campagnes de hameçonnage et d’ingénierie sociale. Il est recommandé aux utilisateurs d’être vigilants face aux communications non sollicitées par téléphone ou email, surtout si elles demandent des informations sensibles. Le mot de passe maître ne doit être partagé avec personne.
Le groupe d’extorsion Icarus a revendiqué l’attaque de la chaîne d’approvisionnement Klue. Ses membres ont compromis l’infrastructure de la plateforme de renseignement marketing et ont volé les jetons OAuth qui connectaient les environnements Salesforce des clients.
Les hackers de Icarus ont accédé à l’infrastructure de Klue en utilisant des identifiants hérités compromis pour un service d’intégration. Cela leur a permis d’obtenir les jetons OAuth qui reliaient Klue à divers services tiers.
L’incident a touché plusieurs organisations, dont Recorded Future, Tanium, Jamf, Sprout Social, Gong et Insurity.
Le cybercriminel a exfiltré des données de gestion de la relation client et a lancé une campagne d’extorsion.
LastPass a désactivé l’accès de ses employés à Klue. L’entreprise a renouvelé les jetons d’API et OAuth exposés et a averti les autorités pendant que l’enquête se poursuit.
La société a également mis en garde contre l’utilisation par les pirates des domaines expéditeurs baccarat.com[.]au, robinskitchen.com[.]au et house[.]com.au. Elle précise qu’il ne faut accorder sa confiance qu’aux communications provenant des canaux de support officiels.