LastPass torna al centro dell’attenzione per un nuovo incidente di sicurezza, ma questa volta l’origine del problema non risiede nella sua infrastruttura.
L’azienda ha confermato che alcuni dati dei clienti sono stati esposti a causa di un attacco alla supply chain che ha colpito Klue, piattaforma di market intelligence utilizzata da numerose imprese. L’episodio arriva a quasi quattro anni dalla grave violazione del 2022 e riaccende il dibattito sui rischi delle integrazioni SaaS e sulla gestione dei token OAuth.
Come gli attaccanti hanno violato Klue e i suoi clienti
Gli aggressori hanno ottenuto accesso ai sistemi di Klue sfruttando una credenziale legacy associata a un servizio di integrazione risalente a un progetto pilota del 2022, mai revocata.
Da quel punto hanno raccolto i token OAuth utilizzati dalle integrazioni con piattaforme esterne come Salesforce, Google Drive, Slack e Zoom, sfruttandoli per accedere ai dati conservati negli ambienti cloud dei clienti. LastPass utilizzava Klue per attività commerciali e di analisi di mercato: l’applicazione era collegata ai sistemi Salesforce tramite token OAuth, meccanismo che permette a un servizio esterno di operare senza richiedere credenziali dirette. Sottratti quei token, gli aggressori si sono autenticati verso l’ambiente Salesforce di LastPass con privilegi già autorizzati. L’azienda ha precisato che i sistemi interni, l’infrastruttura cloud e i vault degli utenti sono rimasti isolati dall’incidente.
