LastPass ha comenzado a notificar a sus clientes que datos personales y registros de casos de soporte fueron sustraídos durante un reciente ataque al proveedor tecnológico Klue, firma de investigación de mercado. Los hackers aprovecharon su acceso a los sistemas de Klue para obtener información de clientes de LastPass, aunque la infraestructura de la propia LastPass, incluidas las bóvedas de contraseñas, no se vio afectada.
Entre los datos robados figuran nombres, números de teléfono, direcciones de correo electrónico, direcciones físicas, datos de casos de soporte al cliente e información comercial. Se desconoce el contenido exacto de los tickets de soporte, aunque es probable que incluyan fragmentos de información sensible, como credenciales o documentos de identidad, según patrones observados en incidentes similares.
Klue, que identificó a los intrusos en sus sistemas el 12 de junio, no ha revelado el número de clientes afectados. El grupo de hackers Icarus reivindicó la intrusión y amenazó con publicar los datos robados si no se paga un rescate. Otras empresas de ciberseguridad, como HackerOne, Recorded Future y Tanium, también se vieron afectadas por la brecha en Klue. LastPass, con más de 33 millones de usuarios y alrededor de 1,6 millones de clientes de pago según datos de 2024, ya sufrió en 2022 el robo de bóvedas de contraseñas cifradas, incidente que posteriormente se vinculó a varios robos de criptomonedas.
