LastPass ha confirmado una violación de seguridad en la cadena de suministro que afectó a un tercero, Klue, cuyo acceso permitió a atacantes obtener credenciales OAuth y acceder al entorno de Salesforce de LastPass. En su informe de incidentes recién publicado, se indica que actores maliciosos no identificados lograron obtener tokens OAuth que Klue gestionaba para numerosos clientes, incluidos LastPass, y así acceder a datos sensibles dentro de Salesforce y exfiltrarlos.

Según el propio LastPass, el incidente comenzó cuando Klue —una plataforma de inteligencia de mercado utilizada por los equipos de ventas y marketing e integrada con Salesforce y Gong— fue comprometida. Tras obtener estos tokens, los atacantes pudieron acceder al entorno de Salesforce de LastPass y sustraer información confidencial almacenada allí.

La compañía afirmó que, tras la investigación, se determinó que un actor no autorizado obtuvo los tokens OAuth de Klue para muchos de sus clientes, incluido LastPass, y empleó dichas credenciales para acceder a los datos de clientes de LastPass dentro de Salesforce. Las evidencias apuntan a que los atacantes pudieron haber accedido a nombres de clientes, números de teléfono, direcciones de correo electrónico, direcciones postales, información de tickets de soporte y datos relacionados con ventas/CRM. Sin embargo, es importante señalar que las contraseñas, incluido la maestra, probablemente no fueron expuestas.

Aunque no se vaticina la exposición de contraseñas, la información obtenida podría facilitar campañas de phishing, permitiendo a los atacantes dirigir ataques más persuasivos para obtener credenciales y secretos. En respuesta al incidente, LastPass está instando a sus clientes a mantenerse alerta y a extremar la precaución ante mensajes que parezcan provenir de la empresa.

La noticia, reportada también por BleepingComputer, señala que el ataque a Klue fue atribuido a un grupo llamado Icarus, que habría utilizado credenciales heredadas comprometidas para una integración de servicio para vulnerar la plataforma de inteligencia. Además de LastPass, otros actores afectados según la publicación incluyen Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity. En respuesta, LastPass ha deshabilitado el acceso de sus empleados a Klue.

Este hecho subraya la importancia de gestionar de forma rigurosa las integraciones de terceros y de monitorizar de forma proactiva las credenciales y los tokens de acceso utilizados por servicios conectados, para reducir la superficie de ataque y mitigar impactos en los datos de clientes.

from Latest from TechRadar https://ift.tt/GCc74ed
via IFTTT IA