LastPass afirma la filtración de datos de sus clientes, tras una brecha de seguridad en la plataforma Klue

LastPass ha informado sobre la filtración de algunos datos de sus clientes, incluidos nombres, números de teléfono, correos electrónicos y direcciones, a causa de una brecha de seguridad que ha sufrido la plataforma de inteligencia de mercado Klue, que se integra con sus sistemas en Salesforce y Gong.

La plataforma de 'software' de inteligencia para operaciones comerciales, llamada Klue, identificó actividad no autorizada el pasado 12 de junio, que afectaba a una parte de su infraestructura de integración.

Tras investigar el caso, la actividad sospechosa resultó ser un ciberataque en su sistema que se llevó a cabo utilizando una credencial heredada comprometida asociada a un servicio de integración como puerta de entrada, según ha explicado la compañía en un comunicado.

De esta forma, los actores maliciosos pudieron obtener tokens OAuth, que se utilizan para conectar Klue con ciertas plataformas de terceros como Salesforce. Tras ello, procedieron a acceder y robar datos en varios entornos de clientes conectados, entre ellos, LastPass.

Así lo ha confirmado el servicio de gestión de contraseñas en un comunicado en su blog, donde ha matizado que Klue es la plataforma de inteligencia de mercado utilizada por sus equipos de comercialización y que se integra con sus sistemas de Salesforce y Gong.

En este caso, los atacantes utilizaron los tokens para acceder a los datos de los clientes de LastPass dentro del entorno Salesforce, logrando recopilar datos personales de usuarios como su nombre, número de teléfono, correo electrónico, dirección física y datos de los casos de soporte y relacionados con las ventas.

Aunque se desconoce la información incluida en los casos de soporte, LastPass ha subrayado que el alcance del incidente se limita únicamente a los sistemas que se integran con la aplicación de Klue, por lo que los productos, servicios e infraestructura de LastPass "no se vieron afectados de ninguna manera" y las bóvedas de los clientes permanecen seguras. Asimismo, la compañía ha señalado que tampoco hay evidencias de que los atacantes hayan accedido a datos relacionados con Gong.

Para frenar este incidente, LastPass ha indicado que comenzó una investigación y "actuó con rapidez", suspendiendo el acceso de todos los empleados a Klue, rotando los tokens de acceso a la API expuestos y colaborando con sus contactos en Klue y Salesforce para mitigar el problema. Igualmente, ha incidido en que los usuarios han sido notificados y están cooperando con las fuerzas del orden.

LastPass no ha sido el único servicio afectado, otras empresas como HackerOne, Recorded Future y Tanium, también se han visto perjudicadas por este ciberataque. Al respecto, Klue ha detallado que, además de revocar las credenciales y tokens afectados y eliminar código no autorizado, han desactivado las integraciones potencialmente afectadas con otros servicios.

Igualmente, Klue ha reflejado que implementará medidas de seguridad adicionales donde sea necesario para fortalecer su entorno.

Asimismo, según han recogido medios como TechCrunch y Bleeping Computer, el grupo de atacantes que se ha atribuido esta brecha de datos es conocido como Icarus y ha amenazado con publicar los datos robados si no recibe un pago por el rescate.

En este marco, la compañía de gestión de contraseñas ha recomendado igualmente a los usuarios mantenerse alerta ante posibles ataques de 'phishing' o intentos de ingeniería social, que los atacantes podrían utilizar para aprovecharse de los datos de contacto expuestos.

Cabe recordar que LastPass ya sufrió una filtración de datos en el año 2022, aunque en este caso el ataque se saldó con el robo de datos encriptados de las bóvedas de sus clientes, incluidas contraseñas maestras encriptadas que los ciberdelincuentes consiguieron romper mediante fuerza bruta.