Resumo
O gestor de palavras-passe LastPass enfrenta uma falha de segurança devido a um fornecedor externo comprometido, expondo dados de clientes. A empresa confirmou que piratas informáticos acederam a informações de clientes através da plataforma Klue. Embora as palavras-passe guardadas não tenham sido comprometidas, tokens OAuth foram utilizados para aceder a ambientes de Salesforce e Gong. A Klue revogou credenciais afetadas e desativou integrações maliciosas, enquanto o Salesforce interveio para proteger a sua plataforma. Os clientes do LastPass não precisam de tomar medidas adicionais, mas devem manter-se vigilantes devido ao risco de phishing. Este incidente destaca a importância da segurança na cadeia de fornecimento e a necessidade de uma abordagem preventiva na proteção de dados.
O LastPass confirmou, num comunicado oficial, que piratas informáticos acederam a informação de alguns clientes depois de comprometerem a Klue, uma plataforma externa de análise de mercado usada pelas equipas comerciais do LastPass.
A empresa diz ter tido conhecimento do incidente a 12 de junho. Durante a investigação, descobriu-se que os atacantes conseguiram aceder a tokens OAuth guardados pela Klue. Na prática, estes tokens funcionam como “chaves de acesso” que ligam serviços diferentes entre si e, neste caso, davam entrada nos ambientes de Salesforce e Gong usados pelo LastPass.
Esta é a parte que interessa a quem é cliente. Entre a informação acedida estão:
O ponto crucial e é importante sublinhar isto é que as palavras-passe guardadas não foram comprometidas. O LastPass garante que a sua própria infraestrutura não foi violada e que os cofres de palavras-passe, as credenciais encriptadas e os serviços principais permaneceram intactos.
Por seu lado, a Klue explicou que os atacantes entraram no sistema através de uma credencial antiga e comprometida, associada a uma ferramenta de integração. Uma vez lá dentro, roubaram os tokens OAuth dos clientes e usaram-nos para extrair dados das plataformas na nuvem ligadas ao serviço.
Desde então, a Klue já revogou as credenciais afetadas, desativou várias integrações e removeu o acesso malicioso dos seus sistemas. A própria equipa de segurança do Salesforce teve de intervir ao detetar atividade suspeita, desativando a ligação da aplicação da Klue. O Salesforce fez questão de esclarecer que o problema esteve na aplicação externa e não numa vulnerabilidade da sua plataforma.
Segundo o LastPass, não é necessária qualquer ação para proteger as palavras-passe guardadas, já que os cofres não foram afetados. Mas atenção: isto não significa que podes baixar a guarda.
Com nomes, contactos e registos de suporte nas mãos, os atacantes têm tudo o que precisam para lançar campanhas de phishing e de engenharia social muito convincentes. Por isso, se és cliente, redobra os cuidados:
Este caso mostra bem como os ataques à cadeia de fornecimento estão a tornar-se cada vez mais comuns. Já não basta uma empresa proteger bem os seus próprios sistemas, basta um fornecedor com uma porta mal fechada para os dados dos clientes acabarem expostos.
Se usas o LastPass, não há motivo para pânico, mas há toda a razão para estares mais atento nas próximas semanas. Em segurança digital, a desconfiança saudável é sempre a melhor defesa.
Fonte: Zero Zero
