LastPass ha comenzado a notificar a sus usuarios de una nueva filtración de datos personales, aunque en esta ocasión el incidente se originó en uno de sus proveedores externos, la firma de estudios de mercado Klue. La compañía aclaró que las bóvedas de contraseñas no se vieron comprometidas.
Según explicó LastPass en una entrada de blog, los atacantes accedieron a información limitada de gestión de relaciones con clientes (CRM), como nombres, números de teléfono, direcciones de correo electrónico y postales, además de datos de casos de soporte y ventas. La plataforma de Klue se integra con los sistemas Salesforce y Gong de LastPass.
Tras conocer la brecha, LastPass revocó el acceso de sus empleados a Klue, rotó los tokens de API expuestos, notificó a las autoridades y abrió una investigación conjunta con Klue y Salesforce. La empresa también difundió direcciones IP y dominios de remitentes vinculados a los atacantes para que otras compañías puedan detectar actividad sospechosa en sus sistemas. Klue publicó por su parte un comunicado sobre el incidente.
LastPass advirtió a sus clientes que estén atentos a posibles intentos de phishing e ingeniería social que empleen los datos robados. Este se suma a incidentes previos: en 2015, piratas informáticos obtuvieron hashes de autenticación y recordatorios de contraseñas, y en 2022 un atacante comprometió una cuenta de desarrollador, accediendo posteriormente a copias de seguridad en la nube con registros de clientes y bóvedas cifradas.
