LastPass informiert Kunden über einen Sicherheitsvorfall, der nicht direkt in der eigenen Produktinfrastruktur passiert sein soll. Auslöser war dem Unternehmen zufolge ein Angriff auf den Drittanbieter Klue, dessen Plattform unter anderem mit Salesforce-Systemen verbunden ist.
- LastPass meldet einen Sicherheitsvorfall über den Drittanbieter Klue.
- Betroffen sind laut Unternehmen Kontakt-, CRM-, Support- und Vertriebsdaten.
- Passwort-Tresore sollen nicht kompromittiert worden sein.
- Der Zugriff erfolgte über erbeutete OAuth-Tokens.
- LastPass warnt vor möglichen Phishing- und Social-Engineering-Angriffen.
Laut LastPass wurden bei dem Vorfall Kundendaten aus der Salesforce-Umgebung des Unternehmens abgerufen. Betroffen seien demnach geschäftliche Kontaktdaten wie Namen, Telefonnummern, E-Mail-Adressen und physische Adressen sowie CRM-Daten, Support-Fälle und vertriebsbezogene Informationen.
Passwort-Tresore laut LastPass nicht betroffen
LastPass betont, dass die eigenen Produkte, Dienste und die Infrastruktur nicht betroffen gewesen seien. Auch die Passwort-Tresore der Kunden sollen sicher geblieben sein. Hinweise auf einen Zugriff auf Gong-Daten gebe es nach Angaben des Unternehmens ebenfalls nicht.
Der Vorfall geht laut Klue auf eine kompromittierte ältere Zugangsinformation zurück, die mit einem Integrationsdienst verbunden war. Darüber soll ein Angreifer Zugriff auf OAuth-Tokens erhalten haben, die Klue zur Verbindung mit Drittplattformen wie Salesforce nutzte.
OAuth-Tokens sind digitale Zugriffsschlüssel, mit denen Dienste miteinander verbunden werden können, ohne dass ein Passwort direkt weitergegeben wird. Werden solche Tokens gestohlen, können Angreifer unter Umständen auf angebundene Systeme zugreifen, bis die Tokens widerrufen oder erneuert werden.
Klue schreibt, der Angriff habe einen Teil der Integrationsinfrastruktur betroffen. Der Angreifer habe die erlangten Tokens genutzt, um auf Daten in verbundenen Kundenumgebungen zuzugreifen. Inhalte, die direkt in der Klue-Plattform gespeichert waren, sollen nach bisherigem Untersuchungsstand nicht betroffen sein.
LastPass hat nach eigenen Angaben reagiert
LastPass gibt an, nach Bekanntwerden des Vorfalls den Mitarbeiterzugriff auf Klue beendet und die betroffenen API-Zugriffstokens rotiert zu haben. Außerdem arbeite das Unternehmen mit Klue und Salesforce an der Untersuchung des Vorfalls und habe Strafverfolgungsbehörden informiert.
Klue erklärte zudem, betroffene Zugangsdaten und Tokens widerrufen, nicht autorisierten Code entfernt und potenziell betroffene Integrationen vorübergehend deaktiviert zu haben. Zur Unterstützung der Untersuchung wurde CrowdStrike hinzugezogen.
Warum der Vorfall trotzdem relevant ist
Auch wenn laut LastPass keine Passwort-Tresore kompromittiert wurden, sind die abgeflossenen Informationen sicherheitsrelevant. Kontakt- und Supportdaten können Angreifern helfen, glaubwürdiger wirkende Phishing-Mails oder Social-Engineering-Angriffe vorzubereiten.
LastPass rät Kunden deshalb, bei unerwarteten E-Mails, Anrufen oder Anfragen nach sensiblen Informationen besonders vorsichtig zu sein. Das Unternehmen weist außerdem darauf hin, dass LastPass niemals nach dem Master-Passwort fragt.
Für LastPass ist der Vorfall auch reputationsseitig heikel. Der Passwortmanager stand bereits nach früheren Sicherheitsvorfällen unter besonderer Beobachtung, unter anderem nach dem Angriff im Jahr 2022, bei dem Angreifer Zugriff auf Kundendaten und verschlüsselte Passwort-Tresore erhielten.
