Se usi LastPass, è importante sapere che un recente attacco informatico ha esposto dati personali dei clienti, anche se le tue password principali sono rimaste protette. Il problema è legato a un servizio esterno utilizzato dall’azienda, non al sistema di archiviazione delle password stesso. La soluzione più rapida è rafforzare le tue difese online: controlla l’eventuale compromissione dei tuoi dati personali, attiva l’autenticazione a due fattori su tutti gli account importanti e sii molto cauto con email e chiamate sospette che chiedono informazioni sensibili.
Cosa è successo a LastPass
LastPass ha comunicato che gli hacker hanno ottenuto accesso ai dati dei clienti tramite il suo ambiente Salesforce, dopo aver rubato i token OAuth della piattaforma di intelligenza di mercato Klue. L’incidente è emerso nel corso di un attacco più ampio alla catena di fornitura di Klue, che ha coinvolto diversi sistemi di integratori di terze parti.
Nonostante l’accesso non autorizzato, LastPass sottolinea che i suoi prodotti, servizi e infrastrutture principali non sono stati compromessi e che le “vault” dei clienti – dove sono conservate le password – sono rimaste sicure. Questo significa che le password salvate in LastPass non sono state direttamente esposte in questo incidente.
Dettagli dell’incidente
Nel comunicato ufficiale, LastPass spiega che l’incidente è stato rilevato il 12 giugno, quando è stato scoperto un problema presso Klue (klue.com), una piattaforma di intelligenza di mercato utilizzata dai team commerciali dell’azienda. Klue si integra con Salesforce e con il sistema di registrazione delle chiamate Gong, creando un ponte tra i dati dei clienti e questi servizi esterni.
L’azienda ha dichiarato: “Siamo stati informati di un incidente verificatosi presso Klue, una piattaforma di terze parti utilizzata dai nostri team di marketing e vendita, che si integra con i nostri sistemi Salesforce e Gong”. LastPass ha immediatamente avviato un’indagine interna e ha collaborato con gli esperti di sicurezza di Klue per comprendere l’entità dell’attacco.
Nel corso dell’indagine, è emerso che un attore minaccioso non autorizzato aveva ottenuto i token OAuth che Klue deteneva per molti dei suoi clienti, inclusa LastPass. Questi token hanno permesso all’hacker di accedere ai dati dei clienti all’interno dell’ambiente Salesforce di LastPass.
“Il soggetto malintenzionato ha utilizzato queste credenziali per accedere ai dati dei clienti nel nostro ambiente Salesforce”, ha confermato LastPass. L’azienda sottolinea che l’accesso si è limitato principalmente ai dati presenti in Salesforce, mentre non sono state trovate prove che l’attaccante abbia ottenuto accesso ai dati relativi a Gong, che tipicamente includono registrazioni di chiamate e email dei clienti.
Quali dati sono stati esposti
Secondo quanto comunicato da LastPass, i seguenti tipi di dati potrebbero essere stati esposti:
- Nomi dei clienti
- Numeri di telefono
- Indirizzi email
- Indirizzi fisici
- Informazioni sui casi di supporto
- Dati relativi a vendite e CRM
Questa tipologia di informazioni è particolarmente pericolosa perché può essere utilizzata per attacchi di phishing e ingegneria sociale altamente mirati. Con questi dati, gli aggressori possono creare email e chiamate che sembrano provenire da fonti legittime, aumentando la probabilità che gli utenti cadano nella trappola.
LastPass raccomanda agli utenti di essere estremamente cauti con tutte le comunicazioni non richieste, in particolare quelle che richiedono l’inserimento di password, codici di verifica o altre informazioni sensibili. È fondamentale ricordare che la password principale di LastPass non deve mai essere condivisa con nessuno, nemmeno con presunti agenti del supporto tecnico.
Il contesto dell’attacco Klue
L’attacco alla catena di fornitura di Klue è stato rivendicato dal gruppo di estorsione chiamato Icarus. Questi hacker hanno compromesso l’infrastruttura della piattaforma di intelligenza di mercato basata su AI, rubando i token OAuth che collegavano i clienti di Klue ai loro ambienti Salesforce.
Icarus ha ottenuto l’accesso all’infrastruttura di Klue utilizzando credenziali legacy compromesse per un servizio di integrazione. Queste credenziali vecchie e non aggiornate hanno fornito agli hacker un punto di ingresso nel sistema, permettendo loro di accedere ai token OAuth che collegavano Klue a vari servizi di terze parti.
L’incidente ha avuto un impatto su molteplici organizzazioni, tra cui Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity. In tutti questi casi, gli attaccanti hanno esfiltrato dati di Customer Relationship Management (CRM) e hanno avviato una campagna di estorsione contro le aziende colpite.
Misure adottate da LastPass
In risposta all’incidente, LastPass ha adottato diverse misure di sicurezza per limitare i danni e prevenire attacchi futuri:
- Disattivazione dell’accesso dei dipendenti a Klue: l’azienda ha immediatamente bloccato l’accesso al servizio di Klue per tutti i dipendenti, interrompendo il collegamento tra il suo ambiente Salesforce e la piattaforma compromessa.
- Rotazione dei token API/OAuth esposti: LastPass ha rigenerato i token compromessi, rendendo inutilizzabili quelli rubati dagli hacker.
- Notifica alle autorità: l’azienda ha informato le forze dell’ordine competenti e sta collaborando con loro nell’indagine in corso.
Inoltre, LastPass ha avvertito gli utenti dei possibili domini di mittente utilizzati dagli attori della minaccia, tra cui baccarat.com[.]au, robinskitchen.com[.]au e house[.]com.au. L’azienda raccomanda di fidarsi esclusivamente delle comunicazioni provenienti dai canali ufficiali di supporto e di non interagire con messaggi provenienti da questi domini sospetti.
Come proteggere i tuoi dati
Se sei un cliente di LastPass, è importante adottare alcune misure immediate per proteggere i tuoi dati:
- Controlla l’uso dei tuoi dati: verifica se i tuoi indirizzi email, numeri di telefono e altri dati personali sono stati esposti in precedenti violazioni utilizzando servizi di monitoraggio della sicurezza.
- Attiva l’autenticazione a due fattori (2FA): configura la 2FA su tutti gli account importanti, inclusi email, social media e servizi finanziari. Utilizza app di autenticazione o chiavi di sicurezza fisiche invece di SMS quando possibile.
- Sii cauto con le comunicazioni: non cliccare su link o allegati in email sospette, anche se sembrano provenire da fonti legittime. Verifica sempre l’indirizzo email del mittente e controlla l’URL prima di inserire credenziali.
- Non condividere mai la tua password principale: LastPass raccomanda di non condividere la password principale con nessuno, nemmeno con il supporto tecnico.
Technical Deep Dive
Per gli addetti ai lavori, l’incidente Klue evidenzia l’importanza critica della gestione dei token OAuth e della sicurezza delle integrazioni di terze parti. L’uso di credenziali legacy per servizi di integrazione rappresenta un rischio significativo, poiché spesso non sono soggette alle stesse politiche di rotazione e monitoraggio dei sistemi moderni.
L’architettura OAuth consente alle applicazioni di accedere ai dati degli utenti senza memorizzare le password, ma richiede una gestione rigorosa dei token. I token devono essere protetti come se fossero password stesse, con politiche di scadenza, rotazione regolare e monitoraggio delle attività sospette.
L’incidente evidenzia anche la vulnerabilità delle catene di fornitura: quando un singolo fornitore viene compromesso, possono essere esposti i dati di numerosi clienti. Le organizzazioni devono implementare controlli rigorosi sulla sicurezza dei fornitori, inclusi audit regolari, limitazione dei privilegi di accesso e monitoraggio continuo delle attività.
Per le aziende che utilizzano Salesforce e altri sistemi CRM, è fondamentale implementare controlli di accesso rigorosi, monitorare le attività anomale e limitare l’accesso solo ai dati necessari per le funzioni operative. La segmentazione della rete e il monitoraggio delle attività di accesso possono aiutare a rilevare e rispondere rapidamente agli accessi non autorizzati.
