Správca hesiel LastPass informuje používateľov o ďalšom úniku osobných údajov. Tentoraz útočníci nenapadli priamo jeho službu, ale externého dodávateľa, cez ktorého sa dostali k menám, adresám a záznamom zo zákazníckej podpory. Ukradnuté informácie pritom môžu poslúžiť na veľmi presvedčivé podvody.
Incident sa začal v platforme Klue, ktorú LastPass používal na získavanie obchodných informácií. Klue bolo prepojené so systémami Salesforce a Gong, pričom útočníci dokázali získať prihlasovacie tokeny OAuth patriace viacerým zákazníkom služby.
Pomocou jedného z týchto tokenov následne vstúpili do prostredia Salesforce spoločnosti LastPass. Firma o incidente informovala vo svojom bezpečnostnom oznámení a dotknutých zákazníkov začala kontaktovať e-mailom.
Hackeri poznajú aj prípady zo zákazníckej podpory
Medzi odcudzenými informáciami môžu byť mená zákazníkov, telefónne čísla, e-mailové adresy a fyzické adresy. Útočníci sa dostali aj k údajom zo zákazníckej podpory, obchodným záznamom a ďalším informáciám uloženým v systéme na riadenie vzťahov so zákazníkmi.
LastPass neuviedol, koľkých ľudí sa incident týka ani aké konkrétne informácie obsahovali jednotlivé prípady podpory. Tie však môžu byť pre útočníkov mimoriadne užitočné. Ak poznajú problém, ktorý zákazník v minulosti riešil, dokážu sa vierohodne vydávať za pracovníka technickej podpory.
Podvodný e-mail alebo telefonát tak nemusí obsahovať iba meno používateľa. Útočník môže poznať aj jeho program, predchádzajúcu komunikáciu, kontaktné údaje alebo problém s účtom. Obeť potom jednoduchšie presvedčí, aby otvorila falošný odkaz, prezradila overovací kód alebo zadala hlavné heslo.
Heslá tentoraz neunikli
Dobrou správou je, že najcitlivejšia časť služby podľa doterajšieho vyšetrovania zasiahnutá nebola. LastPass tvrdí, že útočníci sa nedostali k jeho produktom, infraštruktúre ani šifrovaným trezorom používateľov. Nie sú ani dôkazy o prístupe k údajom zo systému Gong.
Firma po odhalení incidentu zrušila zamestnancom prístup ku Klue, vymenila napadnuté prístupové tokeny a začala spolupracovať so Salesforce, samotným dodávateľom aj políciou. Na problém upozornil aj portál 9to5Mac.
Používatelia preto nemusia automaticky meniť všetky heslá uložené v trezore. Pozor by si však mali dávať na akúkoľvek nečakanú komunikáciu, ktorá sa tvári ako správa od LastPass. Firma pripomína, že jej zamestnanci nikdy nežiadajú hlavné heslo k účtu.
Najväčším rizikom sú v tejto chvíli podvodné e-maily, telefonáty a pokusy o sociálne inžinierstvo. Odkazy v správach je preto lepšie neotvárať a do účtu sa prihlasovať priamo cez oficiálnu aplikáciu alebo ručne zadanú adresu služby. Pre LastPass ide o ďalší nepríjemný bezpečnostný problém po vážnom incidente z roku 2022. Vtedy útočníci získali zálohy zákazníckych trezorov aj nezašifrované kontaktné údaje.
