A LastPass, uma das principais empresas de gerenciamento de senhas do mundo, confirmou que informações de seus clientes foram acessadas por criminosos. O incidente, ocorrido em junho de 2026, não resultou de uma invasão direta à infraestrutura central da LastPass, mas sim de um sofisticado ataque a um fornecedor terceirizado, a empresa Klue. Embora dados críticos como os cofres de senhas dos usuários permaneçam intactos, a violação destaca os riscos inerentes à crescente interconexão de sistemas no ambiente digital.
O Ataque à Cadeia de Suprimentos Digitais
O cerne do ataque não mirou diretamente os servidores da LastPass. Em vez disso, o grupo de extorsão Icarus explorou uma vulnerabilidade na Klue, uma empresa que fornecia ferramentas de inteligência de mercado para as equipes comerciais da LastPass. Os criminosos conseguiram acesso ao backend da Klue e, através de uma atualização maliciosa em seu software, coletaram credenciais digitais conhecidas como tokens OAuth de diversos clientes da plataforma.
Tokens OAuth são chaves digitais que permitem a comunicação segura entre diferentes sistemas, eliminando a necessidade de logins repetidos. Por exemplo, quando o Klue se conecta ao Salesforce, essa integração é mediada por um token OAuth que concede permissão de acesso. Ao roubar esses tokens, o grupo Icarus conseguiu se infiltrar nos ambientes do Salesforce das empresas afetadas, contornando a autenticação tradicional e copiando grandes volumes de dados.
Natureza e Extensão dos Dados Comprometidos
A LastPass esclareceu que os dados acessados se restringiram a informações de CRM (Customer Relationship Management) armazenadas no Salesforce. Esse tipo de sistema contém dados cruciais sobre as interações de uma empresa com seus clientes. Especificamente, foram expostos nomes de clientes, números de telefone, endereços de e-mail, endereços físicos, registros de suporte e detalhes relacionados a vendas.
É fundamental ressaltar que a empresa enfatizou que seus produtos, serviços e, mais importante, a infraestrutura principal da LastPass não foram comprometidos. Os cofres de senhas dos usuários, onde as credenciais armazenadas no aplicativo são mantidas, continuam seguros e não há nenhuma evidência de que tenham sido acessados ou comprometidos durante o incidente.
A Resposta Imediata e as Medidas de Mitigação
O incidente foi detectado primeiramente pelo Salesforce, que identificou atividades suspeitas e desativou a integração do Klue Battlecards em 17 de junho de 2026. A LastPass foi notificada em 12 de junho de 2026 e agiu prontamente. A primeira medida foi interromper o acesso de todos os seus funcionários à plataforma Klue. Em seguida, a empresa realizou a rotação dos tokens OAuth expostos, um processo que invalida as chaves roubadas e gera novas credenciais para prevenir acessos futuros não autorizados.
Além das ações técnicas, a LastPass iniciou uma investigação conjunta com a Klue e o Salesforce, e notificou as autoridades policiais sobre a violação. Para auxiliar outras organizações a fortalecerem suas defesas, a empresa também publicou Indicadores de Comprometimento (IoCs), como endereços IP e domínios de e-mail utilizados pelos atacantes, permitindo a identificação de atividades semelhantes em outros sistemas.
Recomendações para Clientes e o Cenário Pós-Incidente
Diante da exposição de dados de contato, a LastPass alerta seus clientes para que permaneçam vigilantes contra tentativas de phishing e golpes de engenharia social. Informações como nome, telefone e e-mail podem ser utilizadas por criminosos para criar comunicações falsas mais convincentes, simulando ser da LastPass ou de outras empresas, visando obter dados adicionais ou induzir a ações maliciosas.
A empresa reforça uma regra de segurança fundamental: nenhum funcionário da LastPass, sob hipótese alguma, solicitará a senha mestra de um usuário. Todas as comunicações oficiais e solicitações de suporte devem ser verificadas através dos canais de suporte legítimos da empresa. Este incidente sublinha um risco crescente nas complexas cadeias de fornecimento de software, onde cada fornecedor terceirizado, mesmo com integrações automáticas, representa um ponto potencial de entrada para invasores, evidenciando a necessidade contínua de segurança robusta em todo o ecossistema digital.
A LastPass reitera seu compromisso com a segurança de seus usuários e continua monitorando a situação de perto, garantindo que as lições aprendidas com este evento contribuam para o aprimoramento contínuo de suas práticas e salvaguardas.
Fonte: https://www.tecmundo.com.br