LastPass сообщил о компрометации клиентских CRM-данных через интеграцию Klue

Разработчик менеджера паролей LastPass сообщил об инциденте у сторонней платформы рыночной аналитики Klue: злоумышленник получил OAuth-токены интеграции и использовал их для доступа к данным LastPass в Salesforce. Компания утверждает, что ее продукты, инфраструктура и хранилища паролей клиентов не были затронуты, но скомпрометированы контактные данные, обращения в поддержку и сведения, связанные с продажами.

LastPass сообщил о компрометации данных клиентов из-за инцидента у Klue, сторонней платформы рыночной аналитики, подключенной к Salesforce и Gong. По данным компании, 12 июня LastPass узнала об инциденте в Klue; злоумышленник получил OAuth-токены, хранившиеся у поставщика, и использовал их для доступа к клиентским данным LastPass в среде Salesforce.

Среди затронутой информации LastPass называет стандартные деловые контакты и CRM-данные: имена, телефоны, электронные и физические адреса, данные обращений в поддержку и сведения, связанные с продажами. Компания заявляет, что собственные продукты, сервисы и инфраструктура LastPass не были затронуты, а клиентские хранилища паролей остались вне рамок инцидента; признаков доступа к данным Gong она не обнаружила.

Klue в отдельном обновлении сообщила, что атакующий получил доступ к части интеграционной инфраструктуры через скомпрометированные устаревшие учетные данные, после чего получил токены для подключения к сторонним платформам, включая Salesforce. Компания заявила, что отозвала затронутые учетные данные и токены, отключила потенциально затронутые интеграции, привлекла CrowdStrike и уведомила правоохранительные органы.

LastPass прекратила доступ сотрудников к Klue, ротировала раскрытые API-токены и рекомендует клиентам быть готовыми к фишингу и социальной инженерии с использованием раскрытых контактных данных. Число затронутых клиентов LastPass не раскрыла; в приложении к уведомлению компания опубликовала индикаторы компрометации, включая IP-адреса 138.226.246[.]94, 94.154.32[.]160, 159.183.215[.]61, 159.183.181[.]239 и домены отправителей baccarat.com[.]au, robinskitchen.com[.]au, house.com[.]au.