LastPass meldet Datenabfluss nach OAuth-Diebstahl bei Klue

Zusammenfassung

LastPass hat bestätigt, dass Angreifer im Zuge des Klue-Lieferkettenangriffs auf Kundendaten in seiner Salesforce-Umgebung zugreifen konnten. Nach Angaben des Passwortmanagers stahlen die Täter OAuth-Tokens, die Klue als Drittplattform für Marktinformationen für viele Kunden verwahrte, darunter LastPass. Die Angreifer nutzten diese Zugangsdaten anschließend für den Zugriff auf LastPass-Kundendaten. Nicht betroffen gewesen seien dagegen Produkte, Dienste und Infrastruktur von LastPass; auch die Kundentresore seien sicher geblieben. Bekannt wurde der Vorfall laut Unternehmen, nachdem LastPass am 12. Juni über einen Zwischenfall bei Klue informiert worden war. Klue ist laut LastPass an die Systeme Salesforce und Gong angebunden. Die laufende Untersuchung ergab demnach bislang keine Hinweise darauf, dass auch Gong-bezogene Daten betroffen waren, zu denen üblicherweise Kundenanrufe und E-Mails zählen. LastPass reagierte nach eigenen Angaben mit dem Entzug des Klue-Zugriffs für Mitarbeiter, dem Austausch der betroffenen API- und OAuth-Tokens sowie einer Meldung an die Strafverfolgungsbehörden.

Nach Darstellung von LastPass begann der Vorfall bei Klue, einer externen Plattform für Marktinformationen, die von den Vertriebs- und Marktteams des Unternehmens genutzt wird. Klue ist dabei mit Salesforce und Gong integriert. Im Rahmen des Angriffs gelangte ein unbefugter Akteur an OAuth-Tokens, die Klue für zahlreiche Kunden gespeichert hatte, darunter auch für LastPass. Mit diesen Zugangsdaten griffen die Täter laut LastPass auf Kundendaten in der Salesforce-Umgebung des Unternehmens zu.

LastPass betont, dass der Angriff weder die eigenen Produkte noch die Dienste oder die Infrastruktur beeinträchtigt habe. Auch Kundentresore seien nicht betroffen gewesen. Die Untersuchung habe zudem keine Belege dafür geliefert, dass Daten aus dem Gong-Umfeld eingesehen wurden. Dort werden nach Angaben des Unternehmens typischerweise Kundenanrufe und E-Mails verarbeitet.

Welche Daten konkret betroffen sein könnten, fasst LastPass selbst als möglicherweise offengelegt zusammen, nennt in dem vorliegenden Text aber keine vollständige Auflistung der Datentypen. Das Unternehmen weist darauf hin, dass die dabei erlangten Informationen für Phishing- und Social-Engineering-Angriffe missbraucht werden könnten. Zudem warnt LastPass davor, auf unaufgeforderte Kontakte per Telefon oder E-Mail zu reagieren, wenn dabei sensible Angaben verlangt werden. Das Master-Passwort solle mit niemandem geteilt werden.

Für den Angriff auf Klue reklamiert die Erpressergruppe Icarus die Verantwortung. Dem Bericht zufolge kompromittierten die Angreifer die Infrastruktur der KI-gestützten Marktinformationsplattform und stahlen OAuth-Tokens, die Kundenumgebungen in Salesforce verbanden. Zugang zu Klues Infrastruktur erhielten die Täter demnach über kompromittierte Alt-Zugangsdaten für einen Integrationsdienst. So konnten sie auf OAuth-Tokens zugreifen, mit denen Klue an verschiedene Dienste Dritter angebunden war.

Nach Angaben im Quelltext waren mehrere Organisationen von dem Vorfall betroffen, darunter Recorded Future, Tanium, Jamf, Sprout Social, Gong und Insurity. Der Bedrohungsakteur exfiltrierte demnach Daten aus dem Kundenbeziehungsmanagement und startete anschließend eine Erpressungskampagne.

LastPass hat als Reaktion den Mitarbeiterzugang zu Klue deaktiviert und die offengelegten API- und OAuth-Tokens ausgetauscht. Außerdem wurde die Strafverfolgung informiert, während die Untersuchung weiterläuft. Zusätzlich warnt das Unternehmen vor den von den Tätern genutzten Absender-Domains baccarat.com[.]au, robinskitchen.com[.]au und house[.]com.au. Vertrauenswürdig seien ausschließlich Mitteilungen über die offiziellen Support-Kanäle, so LastPass.

LastPass meldet Datenabfluss nach OAuth-Diebstahl bei Klue

Ähnliche Artikel

Neueste Artikel