LastPass opäť čelí hackerskému útoku
Spoločnosť LastPass, ktorá patrí medzi najznámejších poskytovateľov správcov hesiel na svete, potvrdila ďalší bezpečnostný incident. Tentoraz však nejde o priame prelomenie jej vlastnej infraštruktúry. Kybernetickým útočníkom sa totiž podarilo získať prístup k časti zákazníckych údajov prostredníctvom kompromitovaného externého dodávateľa, čo opäť poukazuje na rastúce riziká útokov na dodávateľský reťazec.
Celý incident sa začal po narušení bezpečnosti platformy Klue, ktorú LastPass využíval na integráciu so systémami Salesforce a Gong. Útočníci získali OAuth tokeny uložené v prostredí Klue, vďaka ktorým sa dokázali autorizovať do prepojených služieb bez potreby poznať prihlasovacie údaje používateľov. Následne získali prístup k zákazníckym dátam uloženým v prostredí Salesforce.
Podľa vyjadrenia spoločnosti sa kompromitácia netýkala samotného systému na správu hesiel ani šifrovaných trezorov používateľov. LastPass uviedol, že útočníci nezískali hlavné heslá (Master Password), uložené prihlasovacie údaje ani zašifrované databázy s heslami. Incident sa týkal predovšetkým údajov, ktoré sa nachádzali v zákazníckom CRM systéme.
Medzi odcudzené informácie patria mená zákazníkov, e-mailové adresy, telefónne čísla, poštové adresy a obsah komunikácie so zákazníckou podporou. V niektorých prípadoch mohli útočníci získať aj históriu riešených požiadaviek alebo ďalšie údaje uložené v CRM systéme.
Pozor na podvodné správy
Vyšetrovanie ukázalo, že nejde o izolovaný incident. Kompromitácia platformy Klue zasiahla aj ďalšie organizácie využívajúce jej integrácie so Salesforce. Ako píše SecurityWeek, za útokom má stáť skupina označovaná ako Icarus, ktorá podľa dostupných informácií získala prístup do infraštruktúry Klue prostredníctvom starších prihlasovacích údajov a následne vytvorila alebo odcudzila OAuth tokeny umožňujúce prístup do systémov zákazníkov.
Hoci samotné heslá zostali tentoraz podľa spoločnosti v bezpečí, získané údaje môžu mať pre útočníkov mimoriadne vysokú hodnotu. Kombinácia kontaktných údajov a detailov zo zákazníckej komunikácie umožňuje pripraviť naozaj presvedčivé phishingové kampane. Podvodné e-maily alebo telefonáty môžu pôsobiť dôveryhodne, pretože môžu obsahovať informácie, ktoré poznáte len vy ako zákazník a zákaznícka podpora.
LastPass preto odporúča všetkým používateľom zvýšenú opatrnosť. Zákazníci by mali ignorovať akékoľvek správy, ktoré od nich žiadajú prezradenie hlavného hesla alebo prihlasovacích údajov. Spoločnosť zároveň pripomína, že jej zamestnanci nikdy nežiadajú používateľov o zdieľanie Master Password ani o zasielanie uložených hesiel prostredníctvom e-mailu alebo telefónu.
Ak teda patríte medzi zákazníkov LastPassu, momentálne nie je vaša najväčšia starosť riziko úniku uložených hesiel, ale možnosť, že sa stanete terčom sofistikovaných phishingových útokov alebo pokusov o sociálne inžinierstvo. Pre LastPass ide navyše o ďalší nepríjemný moment po rozsiahlej bezpečnostnej afére z roku 2022, keď útočníci získali kópie šifrovaných používateľských trezorov.
