Popularny dostawca menedżera haseł, firma LastPass, poinformował o incydencie, do którego doszło u jednego z jego zewnętrznych dostawców, a dokładniej – na platformie analitycznej Klue. Cyberprzestępcy zdołali przejąć cyfrowe klucze dostępu i przedostać się do środowiska Salesforce, skąd skopiowali dane kontaktowe części klientów tytułowego przedsiębiorstwa. Za pośrednictwem wpisu na firmowym blogu LastPass postanowił nieco ostudzić atmosferę i zapewnić, iż „sejfy” użytkowników pozostają nienaruszone i całkowicie bezpieczne.
Atak na Klue poskutkowałem wyciek danych użytkowników LastPass
Z oficjalnego komunikatu wynika, że LastPass został powiadomiony o naruszeniu bezpieczeństwa 12 czerwca. Problem dotyczy platformy analitycznej Klue, która wspiera działania marketingowe i sprzedażowe firmy oraz integruje się z systemami Salesforce i Gong. Jak podkreślono, korzystając z okazji, incydent ten dotknął szerszą grupę przedsiębiorstw korzystających z usług tego dostawcy.
Przebieg zdarzenia opierał się na klasycznym schemacie ataku na łańcuch dostaw. Hakerzy uzyskali nieautoryzowany dostęp do tokenów uwierzytelniających OAuth, które platforma Klue przechowywała dla swoich klientów, w tym dla LastPass. Następnie, wykorzystując zdobyte uprawnienia, napastnik autoryzował się w systemie i uzyskał bezpośredni wgląd do bazy danych klientów LastPass wewnątrz odizolowanego środowiska CRM Salesforce.
Firma natychmiast podjęła działania naprawcze, w wyniku których dziura w zabezpieczeniach została załatana, a tokeny OAuth, które wpadły w niepowołane ręce, dezaktywowano i wymieniono na nowe.
Co wpadło w ręce hakerów?
Wedle udostępnionych informacji, wśród skradzionych z systemu CRM danych znajdują się:
- Imiona i nazwiska klientów;
- Numery telefonów;
- Adresy e-mail;
- Adresy korespondencyjne;
- Wybrane dane dotyczące zgłoszeń serwisowych oraz informacje sprzedażowe.
LastPass nie omieszkał podkreślić, iż zakres tego incydentu ogranicza się wyłącznie do systemów powiązanych bezpośrednio z aplikacją Klue. Jak możemy przeczytać w komunikacie:
Produkty, usługi i infrastruktura LastPass nie ucierpiały w żaden sposób, a skarbce klientów pozostają bezpieczne. Nie ma również żadnych dowodów na to, że sprawca uzyskał dostęp do jakichkolwiek danych związanych z Gongiem.
LastPass
Reakcja LastPass
Natychmiast po wykryciu anomalii zespoły ds. cyberbezpieczeństwa i analizy zagrożeń LastPass wkroczyły do akcji. Całkowicie zablokowano pracownikom dostęp do aplikacji Klue, zresetowano tokeny API oraz wszczęto szczegółowe śledztwo we współpracy z przedstawicielami Klue i Salesforce. O sprawie powiadomiono także organy ścigania.
W związku z tym, że w ręce przestępców trafiły poprawne dane teleadresowe, LastPass zaleca swoim użytkownikom szczególną ostrożność. Przejęte informacje mogą posłużyć do organizowania spersonalizowanych ataków socjotechnicznych oraz kampanii phishingowych.
0 komentarzy