Как случился излом?

Популярный менеджер паролей LastPass снова оказался в центре инцидента безопасности. На этот раз хакеры добрались до контактных данных и истории обращений клиентов, сломав не саму компанию, а ее стороннего подрядчика – платформу конкурентной разведки Klue. Об этом сообщает портал Android Authority.

Смотрите также: Хакер без опыта сломал 14 компаний с помощью искусственного интеллекта

Внутренняя служба безопасности LastPass обнаружила несанкционированный доступ еще 12 июня. Как выяснилось, злоумышленники использовали устаревшие аккаунты для интеграции на серверах Klue и похитили токены OAuth.

OAuth-токен – это временный цифровой пропуск. Вместо передачи логина и пароля система выдает постороннему сервису этот "бейдж" с ограниченными правами. Хакеры похитили эти пропуски и проникли в корпоративные системы Salesforce и Gong, использующиеся LastPass.

Google Читайте больше проверенных новостей Добавьте 24 Канал в избранные источники в Google Добавить

Команда безопасности Salesforce оперативно заблокировала вредоносный доступ и принудительно разорвала соединение с приложением Klue. Это подтверждает, что проблема заключалась именно в стороннем сервисе, а не в уязвимости самой CRM-системы.

Кто стоит за атакой и кто еще пострадал?

Ответственность за взлом платформы Klue взяла на себя хакерская группировка Icarus , о чем пишет BleepingComputer . Злоумышленники уже требуют выкупа и угрожают обнародовать похищенные данные в случае неуплаты.

LastPass – далеко не единственная жертва этой атаки на цепочку снабжения. Как сообщает TechCrunch , хакеры также затронули ряд других известных технологических и безопасных компаний:

  • HackerOne;
  • Recorded Future;
  • Таниум;
  • Jamf;
  • Sprout Social;
  • Gong;
  • Insurity.

Какие данные оказались в руках хакеров?

Благодаря угнанным токенам злоумышленники смогли извлечь конфиденциальную информацию клиентов. Среди скомпрометированных данных оказались:

  • имена и адреса клиентов;
  • адреса электронной почты и телефонных номеров;
  • записи обращений в службу поддержки;
  • информация, связанная с продажами.

Собственная инфраструктура LastPass не пострадала. Хранилища паролей, зашифрованные учетные данные и ключевые сервисы остались нетронутыми. Однако масштаб сервиса впечатляет: по состоянию на 2024 год LastPass имел более 33 миллионов пользователей и около 1,6 миллионов платных клиентов.

Предыдущие инциденты LastPass

Этот случай пополнил серию громких утечек данных компании, о которых напоминает издание 9to5Mac .

  • В 2015 году хакеры получили доступ к электронным адресам пользователей, напоминаниям паролей, хешей аутентификации и прочему.
  • В 2022 году произошел более серьезный излом. Злоумышленники похитили исходный код и облачные бекапы с зашифрованными хранилищами паролей. Это позволило им подбирать пароли в офлайн-режиме и привело к серии краж криптовалюты.

Как защититься и на что обратить внимание?

Для обычных пользователей LastPass этот инцидент означает, что изменять сохраненные пароли в хранилищах не требуется. Однако ситуация требует повышенной бдительности. Имея на руках контакты и историю обращений к техподдержке, хакеры могут организовать убедительные фишинговые атаки.

Компания призывает пользователей обращать внимание на подозрительную активность. Хакеры могут использовать следующие домены для фишинговых рассылок:

  • baccarat.com.au
  • robinskitchen.com.au
  • house.com.au

Также зафиксированы IP-адреса, связанные со злоумышленниками: 138.226.246.94, 94.154.32.160, 159.183.215.61, 159.183.181.239. Будьте осторожны и не переходите по подозрительным ссылкам.