LastPass ha comunicato una nuova violazione di dati che coinvolge informazioni personali degli utenti, sebbene l'incidente sia avvenuto indirettamente, tramite la societ� di market intelligence Klue, partner della nota azienda di gestione password. Le casseforti digitali contenenti le password degli utenti non sarebbero state compromesse in questa circostanza.
L'intrusione ha permesso a cybercriminali, identificati come il gruppo Icarus, di accedere ai sistemi di Klue, che integrano piattaforme come Salesforce e Gong. In particolare, gli attaccanti hanno sfruttato token OAuth ottenuti tramite vecchie credenziali compromesse, il 12 giugno scorso, per penetrare nel sistema CRM (Customer Relationship Management) di Salesforce utilizzato da Klue. Da qui hanno esfiltrato dati sensibili di numerosi clienti, tra cui quelli di LastPass.
LastPass ha specificato che le informazioni sottratte si limitano ai dati di contatto aziendali standard e ai dati CRM. Questi includono nomi dei clienti, numeri di telefono, indirizzi email e indirizzi fisici. Sono stati esposti anche dati relativi a casi di supporto e informazioni di vendita. Nonostante la natura indiretta, la tipologia dei dati compromessi rende gli utenti vulnerabili a tentativi di attacchi di phishing e ingegneria sociale mirati.
