LastPass notifica usuários sobre mais um vazamento de dados

 (9to5mac.com)
1 pontos por GN⁺ 5 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Usuários do LastPass receberam uma notificação de que dados pessoais e dados de casos de suporte foram expostos devido a uma violação na Klue, parceira externa
  • O escopo de acesso neste incidente ficou limitado a informações de contato comerciais padrão, dados de CRM, dados de casos de suporte e dados relacionados a vendas, e os cofres de senhas não foram afetados
  • Os itens expostos incluem nome do cliente, número de telefone, endereço de e-mail e endereço físico, e a plataforma Klue é integrada aos sistemas Salesforce e Gong
  • Após tomar conhecimento do incidente, a LastPass revogou o acesso de funcionários à Klue e substituiu os tokens de API expostos, além de notificar as autoridades e conduzir uma investigação por meio da Klue e da Salesforce
  • As informações de contato vazadas podem ser exploradas em ataques de phishing e engenharia social, por isso clientes e empresas precisam verificar os indicadores de ataque compartilhados

Violação na Klue e resposta da LastPass

  • A LastPass enviou um e-mail aos usuários afetados pelo impacto de uma violação ocorrida na empresa de pesquisa de mercado Klue
  • Por meio da invasão, os hackers puderam acessar informações de clientes e dados de casos de suporte
  • As informações acessadas ficaram limitadas ao seguinte escopo
    • nome do cliente, número de telefone, endereço de e-mail, endereço físico
    • dados de gerenciamento de relacionamento com o cliente (CRM)
    • dados de casos de suporte
    • dados relacionados a vendas
  • Neste incidente, os cofres de senhas da LastPass não foram afetados
  • A plataforma Klue é integrada aos sistemas Salesforce e Gong
  • Como resposta ao incidente, a LastPass executou medidas de bloqueio de acesso e procedimentos de investigação
    • revogação do acesso de funcionários à Klue
    • substituição dos tokens de API expostos
    • notificação às autoridades
    • investigação do escopo do incidente em contato com a Klue e a Salesforce

Indicadores de ataque e incidentes de segurança anteriores

  • Clientes devem ficar atentos a ataques de phishing ou tentativas de engenharia social que usem as informações vazadas
  • Foram compartilhados indicadores relacionados aos atacantes para que empresas possam procurar atividades associadas em seus sistemas
    • Endereços IP:
      • 138.226.246[.]94
      • 94.154.32[.]160
      • 159.183.215[.]61
      • 159.183.181[.]239
    • Domínios de e-mail remetente:
      • baccarat.com[.]au
      • robinskitchen.com[.]au
      • house.com[.]au
  • A LastPass já enfrentou vários incidentes de segurança no passado
    • Em 2015, endereços de e-mail de contas, dicas de senha, hashes de autenticação e salts de criptografia foram roubados, mas não houve acesso aos dados criptografados dos cofres
    • Em 2022, invasores comprometeram a conta de um desenvolvedor, roubaram código-fonte e informações técnicas e depois usaram isso para acessar backups em nuvem que incluíam registros de clientes e cofres de senhas criptografados
    • O mesmo incidente de 2022 também incluiu informações não criptografadas como nome, endereço de cobrança, endereço de e-mail e número de telefone

Leituras relacionadas

1 comentários

 
GN⁺ 5 시간 전
Comentários do Hacker News

  • Não sei mais quem consegue confiar seriamente no LastPass
    Há alguns anos eu trabalhava em uma empresa que lidava com dados bancários, e eles continuavam usando LastPass mesmo logo após o incidente de segurança anterior do LastPass, sem nenhum plano de migração

    • Muitas pessoas e organizações usam produtos de segurança não por segurança, mas por teatro de segurança
      Muita gente, inclusive entre responsáveis por segurança, provavelmente nem ouviu falar desta invasão, então para eles o LastPass ainda está funcionando muito bem
    • Se as senhas ainda não são conhecidas, então essa “violação” não é um fracasso do ponto de vista do usuário final
      Se a senha mestra do cofre está segura, e a única forma de acessar o cofre continua sendo apenas a senha mestra, então ele ainda está cumprindo a função que o usuário final quer
      A palavra “violação” não significa muita coisa sem qualificações
    • Já fiz bastante consultoria de segurança para centenas de empresas, e as empresas que realmente levavam segurança a sério eram as que já tinham sofrido uma invasão
      Antes de a diretoria e o conselho verem o impacto de custo diretamente, só ler sobre isso nunca faz aparecer o orçamento necessário para um programa de segurança
      Isso não quer dizer que eu recomendaria LastPass por esse motivo, mas também não o excluiria totalmente só por isso
    • Não consigo entender como alguém confia em entregar todas as senhas e chaves de criptografia a um terceiro
      Configurar o KeePassXC é bem simples

  • Há muito mais empresas afetadas. Algumas estão listadas abaixo

    "Klue has not said how many of its hundreds of customers are affected. Several companies have come forward to confirm they had data stolen during the attack, including Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social, and Tanium."
    Cybercrime group Icarus took credit for the breach, saying on its leak site that it will publish the stolen data on Monday if the company does not pay the hackers’ ransom."
    https://techcrunch.com/2026/06/22/klue-hack-results-in-data-...

  • Não entendo por que o LastPass estaria passando detalhes de clientes para uma empresa de pesquisa de mercado
    Esses dados deveriam ter sido totalmente anonimizados, sem nomes, endereços específicos etc.
    Para quem procura recomendações, eu uso KeepassXC e Keepass2Android. São open source, usam banco de dados local, e você pode escolher se quer sincronizar ou não. Eu sincronizo com Own cloud

    • Eu uso pwsafe há anos
      Também é gratuito, open source e com cofre apenas local. Não preciso depender de um serviço de nuvem que pode perder meus dados por incompetência
      Opcionalmente você pode salvar o cofre no Dropbox ou no iCloud Drive, mas sinceramente não sei por que faria isso

    • Any such data should have been fully anonymized: no names, no specific addresses, etc..
      Por que esses dados deveriam ser repassados em primeiro lugar?

  • https://blog.lastpass.com/posts/klue-supply-chain-incident-a...

    The information accessed was limited to standard business contact information and related customer relationship management (CRM) data, including customer names, phone numbers, email addresses, and physical addresses, as well as support case data and sales-related data.

  • De certa forma isso também pode ser pior do que usar LastPass, mas nos últimos anos eu simplesmente gero e esqueço 90% das minhas senhas
    Só guardo os 10% restantes em um gerenciador de senhas. Se for um serviço pouco importante, toda vez que faço login eu uso “esqueci a senha” para criar e trocar por uma senha nova

    • Isso funciona se a conta não tiver autenticação em dois fatores
      No último app side project que fiz, o usuário só podia entrar com uma senha de uso único enviada por e-mail
      Há desvantagens de segurança, como phishing que te faça digitar a senha de uso único em um site falso, mas como o app não guarda nada sensível, não considero um grande risco de segurança
    • Já tive problema porque não tinha mais acesso a um número de telefone antigo, e os SMS de autenticação em dois fatores iam para esse número
    • É por isso que muitos serviços estão migrando para usar magic links por e-mail como forma de login
      No fim, em muitos serviços, comprometer o e-mail na prática significa comprometer o login

  • Eu uso Enpass há anos porque consegui comprar uma licença vitalícia barata
    O Enpass não hospeda diretamente um serviço de nuvem para sincronizar senhas; ele sincroniza para o armazenamento em nuvem que o usuário autenticar. Eu uso Google Drive
    Acho essa abordagem melhor. Se alguém mal-intencionado invadir minha conta Google, de qualquer forma já acabou, e provavelmente isso seria até pior do que entrar no meu gerenciador de senhas
    Além disso, ele não cria um monte centralizado de dados que vira prêmio grande em caso de invasão. Para roubar todas as senhas do Enpass, seria preciso invadir Google Drive, Dropbox, iCloud etc., depois encontrar os arquivos manualmente

    • Em que isso difere, por exemplo, do KeePass?

  • É divertido ver todo mundo xingando o LastPass em massa por causa de outra invasão e dizendo que passar dados de clientes para terceiros é totalmente irresponsável, mas basta parar um segundo para olhar o que realmente aconteceu para ver que a história na cabeça das pessoas e a realidade são bem diferentes
    Klue é um dos vários serviços de relacionamento com clientes usados por muitas equipes de vendas. Você precisa passar e-mails de contato de clientes, registros de clientes como o financeiro etc. para que a Klue possa fornecer algo como “informações de mercado” sobre esse cliente
    Se você for até a equipe de vendas e olhar as várias coisas aleatórias que conectaram ao sistema, provavelmente vai encontrar coisas parecidas
    Independentemente de isso ser uma boa ideia, eu detesto fortemente, mas é assim que as equipes de vendas trabalham hoje. Se tentar tirar isso delas, você compra briga com toda a organização de vendas
    Fico mais surpreso é que esse tipo de invasão não aconteça com mais frequência
    O banco de dados de senhas real do LastPass não foi afetado
    Não tenho relação com nenhuma das organizações envolvidas

    • I am more surprised that these breaches don't happen more often.
      Na prática, acontecem com frequência

  • Acho que já está na hora de o LastPass mudar a marca para First0wned

  • Se uma empresa continuou usando ou adotou LastPass depois de os cofres terem vazado, imagino que desta vez simplesmente não vá se importar porque é só dados de CRM
    Até entendo, em certo grau, empresas que continuaram com LastPass. Quando tive que migrar uma organização de LastPass para 1Password, foi um trabalhão gigantesco e realmente irritante
    Mas é difícil ter empatia com quem escolheu LastPass depois de 2022

    • A parte pouco importante aqui é que a relevância dos dados é baixa
      O verdadeiro ponto é que, por menor que seja, o LastPass deveria ter feito melhor
      Uma empresa de armazenamento de senhas precisa ser melhor do que isso para merecer confiança

  • Abandonei o LastPass há muito tempo e migrei para o BitWarden, mas hoje em geral uso o app Passwords da Apple