LastPass sufre una brecha en un socio tecnológico que expone datos personales de clientes

Fuentes: LastPass sufre una brecha en un socio tecnológico que expone datos personales de clientesT3clickbait

El gestor de contraseñas LastPass ha confirmado una brecha de seguridad que ha expuesto datos personales y registros de atención al cliente de sus usuarios. La incidencia no se originó en los sistemas de LastPass, sino en Klue, una plataforma de inteligencia de mercado utilizada por sus equipos comerciales e integrada con Salesforce y Gong. Aprovechando tokens OAuth comprometidos de Klue, los atacantes accedieron a información de clientes de LastPass alojada en el entorno de Salesforce.

Entre los datos filtrados figuran nombres, números de teléfono, direcciones de correo electrónico, direcciones físicas, historial de casos de soporte y datos relacionados con ventas. LastPass sostiene que las bóvedas de contraseñas de los clientes permanecen seguras y que ni los servicios ni la infraestructura de la compañía se han visto comprometidos.

La compañía detectó el incidente el 12 de junio y asegura haberlo mitigado por completo, sustituyendo los tokens OAuth afectados. Entre las medidas adoptadas figuran la suspensión del acceso de sus empleados a Klue, la rotación de claves de la API, la notificación a las fuerzas de seguridad y el refuerzo de sus protocolos. LastPass recomienda a los usuarios extremar la precaución ante posibles intentos de phishing o ingeniería social y recuerda que nadie de la empresa solicitará jamás la contraseña maestra.