LastPass сообщает, что хакеры украли данные клиентов через нарушение цепочки поставок в Klue

      TL;DRИмена клиентов LastPass, адреса электронной почты, номера телефонов и данные по обращениям в службу поддержки были украдены после того, как хакеры взломали поставщика Klue и использовали токены OAuth для доступа к Salesforce.

      LastPass уведомляет клиентов о том, что их личная информация и данные по обращениям в службу поддержки были украдены после того, как хакеры взломали Klue, поставщика конкурентной разведки, который хранил токены OAuth, предоставляющие доступ к среде Salesforce LastPass. Взлом не затронул собственную инфраструктуру LastPass или зашифрованные хранилища паролей клиентов. Украденные данные включают имена, номера телефонов, адреса электронной почты, физические адреса и содержание взаимодействий со службой поддержки.

      Klue раскрыла информацию о взломе 12 июня, когда генеральный директор Джейсон Смит подтвердил, что злоумышленники получили доступ к токенам OAuth, которые компания хранила от имени своих клиентов. Эти токены предоставляли аутентифицированный доступ к средам Salesforce, где компании, такие как LastPass, хранят данные о взаимоотношениях с клиентами и поддержке. Хакеры использовали украденные токены для извлечения записей из нескольких организаций одновременно.

      Группа хакеров и вымогателей под названием Icarus взяла на себя ответственность за атаку, угрожая опубликовать украденные данные, если пострадавшие компании не заплатят выкуп. LastPass не раскрыла, сколько клиентов пострадало, но сообщила, что уведомляет тех, чья информация была скомпрометирована. По последним публичным данным, у компании примерно 33 миллиона пользователей и более одного миллиона платящих клиентов.

      LastPass не единственная компания, пострадавшая от взлома. Атаки на цепочку поставок стали одной из определяющих угроз кибербезопасности 2026 года, и взлом Klue следовал той же схеме: вместо того чтобы атаковать цель напрямую, хакеры скомпрометировали доверенного третьего поставщика, который хранил учетные данные доступа. Другие компании, пострадавшие от взлома Klue, включают HackerOne, Recorded Future, Tanium, Gong, Jamf, Snyk, OneTrust, Sprout Social и Huntress.

      Инцидент особенно вреден для LastPass из-за истории компании. В 2022 году хакеры напрямую взломали LastPass и украли все хранилища паролей клиентов, а исследователи безопасности позже подтвердили, что некоторые хранилища с слабыми мастер-паролями были взломаны оффлайн, при этом украденные учетные данные были связаны с кражами криптовалюты на сумму более 150 миллионов долларов. Этот взлом подорвал доверие к компании и вызвал волну переходов клиентов к конкурентам.

      На этот раз LastPass подчеркнула, что ее собственные системы не были скомпрометированы и что зашифрованные хранилища паролей не были доступны. Это различие важно, но может предложить ограниченное утешение клиентам, чьи личные данные и содержание обращений в службу поддержки теперь находятся в руках группы вымогателей. Обращения в службу поддержки могут содержать чувствительный контекст о проблемах с аккаунтом, вопросах безопасности и деталях выставления счетов, которые пользователи делились, ожидая конфиденциальности.

      Взлом подчеркивает структурную уязвимость в том, как компании управляют доступом третьих поставщиков. Токены OAuth предназначены для предоставления ограниченного, отзывного доступа к конкретным ресурсам без обмена паролями, но когда поставщик, такой как Klue, хранит токены для десятков корпоративных клиентов, компрометация этого единственного поставщика дает доступ ко всем им одновременно. Поверхность атаки — это не безопасность целевой компании, а безопасность каждого поставщика в ее цепочке поставок.

      Роль Klue как платформы конкурентной разведки означает, что она регулярно получает данные из систем продаж и маркетинга клиентов для предоставления рыночного анализа и отслеживания конкурентов. Эта бизнес-модель требует глубоких интеграций с платформами CRM, такими как Salesforce, что и сделало украденные токены OAuth столь ценными для злоумышленников.

      Отрасль менеджеров паролей столкнулась с повторяющимися инцидентами безопасности в 2026 году, когда Dashlane сообщила в июне, что злоумышленники взломали ее систему двухфакторной аутентификации и скачали зашифрованные хранилища менее чем из 20 аккаунтов. Эта схема предполагает, что компании, ответственные за хранение самых чувствительных учетных данных пользователей, остаются высокоценными целями, как через прямые атаки, так и через поставщиков, на которых они полагаются.

      LastPass сообщила, что отозвала скомпрометированные токены OAuth, работает с Klue над устранением последствий и привлекла сторонних судебно-медицинских экспертов. Компания посоветовала пострадавшим клиентам быть внимательными к попыткам фишинга, которые используют украденную личную информацию для создания убедительных сообщений. Клиенты, которые обращались в службу поддержки LastPass и делились чувствительными данными в этих взаимодействиях, должны рассматривать эту информацию как потенциально скомпрометированную.

      Требования группы Icarus о выкупе добавляют элемент вымогательства к тому, что в противном случае было бы обычной кражей данных. Если группа выполнит свою угрозу опубликовать данные, пострадавшие клиенты всех компаний, затронутых взломом Klue, могут столкнуться с кражей личности, целевым фишингом и атаками социальной инженерии, основанными на конкретных деталях, найденных в их записях поддержки и взаимодействиях по продажам.