LastPass afferma che gli hacker hanno rubato i dati dei clienti attraverso una violazione della catena di fornitura presso Klue.

      TL;DRI nomi dei clienti di LastPass, email, numeri di telefono e dati dei casi di supporto sono stati rubati dopo che gli hacker hanno violato il fornitore Klue e utilizzato token OAuth per accedere a Salesforce.

      LastPass sta notificando ai clienti che le loro informazioni personali e i dati dei casi di supporto sono stati rubati dopo che gli hacker hanno violato Klue, un fornitore di intelligence competitiva che deteneva token OAuth che concedevano accesso all'ambiente Salesforce di LastPass. La violazione non ha compromesso l'infrastruttura di LastPass né i vault delle password crittografate dei suoi clienti. I dati rubati includono nomi, numeri di telefono, indirizzi email, indirizzi fisici e il contenuto delle interazioni con il supporto clienti.

      Klue ha rivelato la violazione il 12 giugno, quando il CEO Jason Smith ha confermato che gli attaccanti erano riusciti ad accedere ai token OAuth che l'azienda deteneva per conto dei suoi clienti. Quei token fornivano accesso autenticato agli ambienti Salesforce dove aziende come LastPass memorizzano dati sui rapporti con i clienti e sul supporto. Gli hacker hanno utilizzato i token rubati per estrarre record da più organizzazioni contemporaneamente.

      Un gruppo di hacking e estorsione chiamato Icarus ha rivendicato la responsabilità dell'attacco, minacciando di rilasciare i dati rubati a meno che le aziende colpite non pagassero un riscatto. LastPass non ha rivelato quanti clienti siano stati colpiti, ma ha dichiarato che sta notificando coloro la cui informazione è stata compromessa. L'azienda ha circa 33 milioni di utenti e più di un milione di clienti paganti secondo le sue ultime cifre pubbliche.

      LastPass non è l'unica azienda colpita. Gli attacchi alla catena di approvvigionamento sono diventati una delle minacce alla cybersicurezza più significative del 2026, e la violazione di Klue ha seguito lo stesso schema: piuttosto che attaccare direttamente l'obiettivo, gli hacker hanno compromesso un fornitore terzo fidato che deteneva le credenziali di accesso. Altre aziende colpite dalla violazione di Klue includono HackerOne, Recorded Future, Tanium, Gong, Jamf, Snyk, OneTrust, Sprout Social e Huntress.

      L'incidente è particolarmente dannoso per LastPass a causa della storia dell'azienda. Nel 2022, gli hacker hanno violato LastPass direttamente e rubato l'intero archivio dei vault delle password dei clienti, e i ricercatori di sicurezza hanno successivamente confermato che alcuni vault con password master deboli erano stati violati offline, con credenziali rubate collegate a furti di criptovalute superiori a 150 milioni di dollari. Quella violazione ha eroso la fiducia nell'azienda e ha spinto un'ondata di clienti a passare ai concorrenti.

      Questa volta, LastPass ha sottolineato che i propri sistemi non sono stati compromessi e che i vault delle password crittografate non sono stati accessibili. La distinzione è importante ma potrebbe offrire un conforto limitato ai clienti i cui dettagli personali e contenuti dei casi di supporto sono ora nelle mani di un gruppo di estorsione. I casi di supporto possono contenere contesti sensibili riguardanti problemi di account, preoccupazioni per la sicurezza e dettagli di fatturazione che gli utenti hanno condiviso aspettandosi riservatezza.

      La violazione evidenzia una vulnerabilità strutturale nel modo in cui le aziende gestiscono l'accesso dei fornitori terzi. I token OAuth sono progettati per concedere accesso limitato e revocabile a risorse specifiche senza condividere password, ma quando un fornitore come Klue detiene token per decine di clienti aziendali, compromettere quel singolo fornitore consente l'accesso a tutti loro contemporaneamente. La superficie di attacco non è la postura di sicurezza dell'azienda target, ma la postura di sicurezza di ogni fornitore nella sua catena di approvvigionamento.

      Il ruolo di Klue come piattaforma di intelligence competitiva significa che acquisisce regolarmente dati dai sistemi di vendita e marketing dei clienti per fornire analisi di mercato e monitoraggio dei concorrenti. Quel modello di business richiede integrazioni profonde con piattaforme CRM come Salesforce, che è esattamente ciò che ha reso i token OAuth rubati così preziosi per gli attaccanti.

      L'industria dei gestori di password ha affrontato ripetuti incidenti di sicurezza nel 2026, con Dashlane che ha rivelato a giugno che gli attaccanti hanno forzato il suo sistema di autenticazione a due fattori e scaricato vault crittografati da meno di 20 account. Il modello suggerisce che le aziende responsabili della memorizzazione delle credenziali più sensibili degli utenti rimangono obiettivi di alto valore, sia attraverso attacchi diretti che attraverso i fornitori su cui si affidano.

      LastPass ha dichiarato di aver revocato i token OAuth compromessi, di stare lavorando con Klue per la riparazione e di aver coinvolto investigatori forensi di terze parti. L'azienda ha consigliato ai clienti colpiti di essere vigili per tentativi di phishing che utilizzano le informazioni personali rubate per creare messaggi convincenti. I clienti che hanno contattato il supporto di LastPass e hanno condiviso dettagli sensibili in quelle interazioni dovrebbero trattare quelle informazioni come potenzialmente esposte.

      Le richieste di riscatto del gruppo Icarus aggiungono una dimensione di estorsione a quello che altrimenti sarebbe un furto di dati convenzionale. Se il gruppo dovesse portare a termine la sua minaccia di pubblicare i dati, i clienti colpiti in tutte le aziende interessate dalla violazione di Klue potrebbero affrontare furti di identità, phishing mirato e attacchi di ingegneria sociale basati sui dettagli specifici trovati nei loro record di supporto e interazioni di vendita.