DeafNews
// 1 ZERO-DAY · 3 CVE NELLE ULTIME 24H
Cybersecurity

LastPass violata via Klue: dati clienti rubati, vault al sicuro

Published: Updated: By DeafSuite team 7 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
LastPass conferma un breach supply chain tramite Klue: token OAuth rubati, accesso a Salesforce, dati personali e supporto clienti esposti. I vault no.

Il 12 giugno 2026 Klue ha identificato un'intrusione nei propri sistemi. L'impatto ha travalicato il vendor di market intelligence per colpire LastPass: token OAuth rubati a Klue hanno aperto l'accesso all'ambiente Salesforce del password manager, esponendo nomi, indirizzi, telefoni, email e record di supporto di clienti ignari. I vault delle password e l'infrastruttura propria di LastPass non sono stati compromessi.

Nota editoriale: La distinzione tra vault intatti e dati di relazione esposti è tecnicamente corretta, ma riduce il perimetro di rischio senza eliminarlo. I dati rubati costituiscono comunque un potenziale rischio per campagne di spear phishing mirate.

Punti chiave
  • I dati rubati includono nomi, email, numeri di telefono, indirizzi fisici, ticket di supporto e informazioni di vendita: tutto il contesto umano attorno al vault, non il vault stesso
  • Il meccanismo d'attacco passa per token OAuth conservati da Klue come vendor SaaS integrato con Salesforce e Gong
  • Il gruppo Icarus ha rivendicato l'operazione e minacciato la pubblicazione dei dati; non emergono conferme di leak effettivo al momento della pubblicazione
  • LastPass ha disabilitato l'accesso dei dipendenti a Klue, ruotato i token esposti e notificato le forze dell'ordine; l'investigazione non ha rivelato accesso a dati Gong

Il meccanismo: OAuth come ponte di fiducia controllato da terzi

Il nucleo tecnico è nella catena di delega. Klue, piattaforma di market intelligence usata dai team go-to-market di LastPass, deteneva token OAuth per l'integrazione con Salesforce e Gong. Secondo quanto dichiarato da LastPass nel proprio blog, "an unauthorized actor was able to obtain OAuth tokens Klue held for many of its customers, including LastPass. The threat actor then used these credentials to access LastPass customer data within our Salesforce environment".

I token OAuth sono progettati per essere revocabili, ma la loro sicurezza dipende dalla capacità del detentore — in questo caso Klue, non LastPass — di proteggerli e gestirne il ciclo di vita. L'attacco ha sfruttato credenziali legacy compromesse per un servizio di integrazione, pivotando da accesso iniziale a token validi. La configurazione ha permesso al threat actor di muoversi lateralmente dal sistema Klue all'istanza Salesforce di LastPass senza mai toccare i server del password manager.

LastPass ha circa 33 milioni di utenti e quasi 1,6 milioni di clienti paganti al 2024. La scala del potenziale danno non è nel numero di record, che resta sconosciuto, ma nella qualità del profilo costruibile: nomi reali, indirizzi fisici, storico di supporto e contesto commerciale. Questi elementi costituiscono un potenziale rischio per campagne di spear phishing di precisione.

L'estorsione di Icarus e i domini di phishing già in campo

Il gruppo Icarus ha rivendicato l'attacco e minacciato di pubblicare i dati se non ricevuto un riscatto. La fonte non specifica se LastPass sia in contatto diretto con gli estorsori o se le richieste siano arrivate tramite canali intermedi. Non emergono conferme che i dati siano già stati diffusi al momento della pubblicazione.

LastPass ha comunque avvisato attivamente i clienti di una campagna di phishing in corso, indicando tre domini sender già osservati: baccarat.com[.]au, robinskitchen.com[.]au e house[.]com.au. L'avviso non è generico: riconoscere i domini usati dai threat actor è un'informazione operativa che i clienti possono usare per filtrare email sospette. Il meccanismo di controllo di questi domini .au da parte di Icarus non è noto nel dossier disponibile.

La concentrazione del rischio e i target multipli

Il breach Klue ha colpito anche altre aziende: HackerOne, Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity. La concentrazione di token OAuth in mano a un singolo vendor SaaS ha creato un rischio che si è materializzato in parallelo su molteplici target. Il pattern riflette una dipendenza diffusa nel settore da integrazioni terze per gestire dati di relazione con clienti.

Klue non è un fornitore marginale: è una piattaforma di intelligence usata da team commerciali per tracciare competitor e orchestrare strategie di mercato. La sua integrazione con Salesforce e Gong la colloca in posizione di accesso privilegiato a dati sensibili di relazione, non di prodotto.

Cosa fare adesso

  • Verificare email sospette provenienti dai domini baccarat.com[.]au, robinskitchen.com[.]au e house[.]com.au: LastPass li ha identificati come sender utilizzati nella campagna di phishing collegata a questo incidente
  • Considerare con sospetto qualsiasi comunicazione che citi storici ticket di supporto LastPass o dettagli di contratti commerciali: i dati rubati includono proprio questo contesto, rendendo il phishing più persuasivo del sollecito generico
  • Rivoltare alle fonti primarie eventuali richieste di riscatto o di pagamento che usino il nome LastPass: il gruppo Icarus ha minacciato la pubblicazione dei dati, ma il dossier non documenta canali ufficiali di contatto utilizzati dagli estorsori
  • Monitorare comunicazioni ufficiali di LastPass sull'evoluzione dell'indagine, in particolare su eventuale conferma di leak effettivo dei dati: al momento la minaccia resta dichiarativa, non verificata come esecuzione
"The hackers took customers' names, phone numbers, email addresses, and physical addresses, as well as customer support case data and sales-related data" — LastPass blog post, via TechCrunch

Perché la supply chain annulla la promessa anche quando il vault regge

La lezione tecnica è nella geometria del trust. LastPass ha architettura zero-knowledge per i vault: nemmeno l'azienda può leggere le password conservate. Ma i dati di relazione vivono in CRM gestiti tramite delega OAuth a piattaforme terze. Il vault è una fortezza; i dati che lo circondano — supporto, vendite, comunicazione — dipendono da catene di fiducia esterne.

La lezione di mercato è più fredda. Gli utenti LastPass hanno già subito una erosione di fiducia dopo il breach del 2022, quando furono i vault stessi a essere sottratti. Questo incidente, per quanto tecnicamente distinto, alimenta una narrazione di fragilità strutturale che il vendor dovrà contrastare con trasparenza sui controlli supply chain, non solo sulla crittografia dei vault. Il dato che i token sono stati ruotati e l'accesso a Klue interrotto è rassicurante sul reattivo, meno sul preventivo.

Le informazioni si basano su comunicazioni aziendali filtrate via giornalismo tecnico; non è disponibile un advisory vendor strutturato con evidence map indipendente. Le fonti primarie editoriali (TechCrunch, BleepingComputer) riportano dichiarazioni di LastPass e Klue senza accesso a documentazione forense interna.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Per approfondire

  • Xsolis, breach da phishing: 1,4 milioni di record PHI esposti
  • London Hydro: breach 160k clienti, pericolo phishing mirato
  • SonicWall: patchata la CVE, ma il rischio persiste nei 14 firewall su 14

Fonti

Fonti e riferimenti
  1. techcrunch.com
  2. bleepingcomputer.com
  3. tech.yahoo.com
  4. thenextweb.com
  5. krebsonsecurity.com
  6. this.weekinsecurity.com