LastPass ist das jüngste Cybersicherheitsunternehmen, das Folgen des Klue-Vorfalls offengelegt hat. Nach Unternehmensangaben war der Zugriff auf „standardmäßige geschäftliche Kontaktinformationen und zugehörige Customer-Relationship-Management-Daten“ begrenzt. Dazu zählten Kundennamen, Telefonnummern, E-Mail-Adressen und Postanschriften sowie Daten zu Support-Fällen und vertriebsbezogene Informationen.

LastPass erklärte zudem, den Zugang von Klue beendet, offengelegte Tokens ausgetauscht, die Strafverfolgungsbehörden informiert und gemeinsam mit Klue und Salesforce eine Untersuchung eingeleitet zu haben. Das Unternehmen betonte, der Vorfall beschränke sich auf Systeme, die in die Klue-Anwendung integriert seien. Produkte, Dienste und Infrastruktur von LastPass seien nicht betroffen gewesen, und Kundentresore blieben sicher. Hinweise auf einen Zugriff auf Daten im Zusammenhang mit Gong gebe es ebenfalls nicht.

Dem zugrunde liegenden Angriff zufolge verschaffte sich Icarus mit einer kompromittierten älteren Anmeldeinformation Zugang zu Klue und erzeugte dort OAuth-Tokens, um auf Drittplattformen zuzugreifen, die mit Klue verbunden sind. Anschließend griff der Akteur auf die verbundenen Salesforce-Instanzen zu und exfiltrierte die Daten laut Bericht mithilfe automatisierter Skripte in großem Umfang.

Salesforce und Gong reagierten, indem sie die Klue-Integration deaktivierten. Mehr als ein Dutzend Organisationen haben die Auswirkungen bereits bestätigt. In dieser Woche meldeten neben LastPass auch 8×8 und Pendo, betroffen zu sein. Bereits zuvor hatten HackerOne, Huntress, Insurity, Jamf, OneTrust, Recorded Future, Snyk, Sprout Social und Tanium den Vorfall offengelegt. BeyondTrust teilte ebenfalls mit, dass aus seiner Salesforce-Instanz geschäftliche Kontaktdaten und vertriebsbezogene Informationen entwendet wurden; die entsprechende Mitteilung blieb zunächst weitgehend unbeachtet.

Auf seiner über Tor erreichbaren Leak-Seite führte Icarus mehrere Organisationen als Opfer auf, deren Salesforce-Daten gestohlen worden sein sollen. Genannt wurde dort unter anderem der Schweizer Anbieter von KI-Kommunikationslösungen Gms-net. Die Website von Icarus ist inzwischen nicht mehr erreichbar. Bevor sie offline ging, listete sie laut Bericht mindestens vier weitere Unternehmen, die ihre Betroffenheit durch den Klue-Vorfall noch nicht öffentlich gemacht hatten. Damit steigt die Zahl der Opfer auf ungefähr 15.

Nach Einschätzung von Huntress dürften jedoch zahlreiche weitere Klue-Kunden von dem Datenabfluss betroffen sein und sich noch zu Wort melden. Die bisher bekannt gewordenen Benachrichtigungen der betroffenen Unternehmen zeichnen dabei ein ähnliches Bild: Die Angreifer griffen auf Geschäftsdaten zu, die über die Klue-Integration erreichbar waren; Hinweise auf eine Kompromittierung interner Systeme liegen den Mitteilungen zufolge nicht vor.