LastPass ha informado en su blog oficial de un ataque a la cadena de suministro de Klue. Los atacantes han accedido a datos de los clientes desde su entorno Salesforce y esto lo han conseguido después de robar los tokens OAuth previamente. No se trata de un ataque directo al popular gestor de contraseñas, sino que es un problema que afecta a la cadena de suministros, algo que demuestra que es uno de los vectores más peligrosos actualmente.
Qué ha pasado con LastPass
Los atacantes han podido comprometer Klue, que es una plataforma de inteligencia de mercado de terceros, la cual se integra con Salesforce y Gong. La actividad no autorizada tuvo lugar el pasado 12 de junio, según la información proporcionada por LastPass.
Desde LastPass aseguran que, una vez fueron conscientes de este acceso, “inmediatamente iniciamos una investigación y descubrimos que, como parte de este incidente, un actor no autorizado pudo obtener tokens OAuth que Klue tenía para muchos de sus clientes, incluido LastPass”.
Los atacantes utilizaron esos tokens OAuth para acceder a los datos de los clientes de este administrador de contraseñas, a través del entorno Salesforce. Por ahora, no hay evidencias de que hayan accedido también a datos de Gong.
Un token OAuth actúa como una llave digital temporal que permite a una aplicación (como la plataforma de inteligencia de mercado Klue) acceder a datos en otro servicio (como Salesforce) sin necesidad de conocer la contraseña del usuario. En este ataque, los ciberdelincuentes robaron esas llaves, lo que les permitió hacerse pasar por una aplicación legítima y extraer los datos de los clientes de LastPass.
En su blog oficial, Klue ha informado en una publicación con fecha de 22 de junio sobre este incidente. Aseguran que tomaron acciones rápidamente para investigar qué ha ocurrido. No han indicado qué tipo de credenciales fueron robadas.
Qué datos han obtenido
LastPass indica en su comunicado que hay ciertos datos que han podido quedar expuestos para los atacantes. Son los siguientes:
- Nombres de los clientes.
- Números de teléfono.
- Direcciones de correo electrónico.
- Direcciones físicas.
- Datos relacionados con ventas.
Aseguran que no ha afectado a:
