LastPass relata incidente de supply chain na Klue e detalha resposta
Aprofundamento CEVIU
Aprofundamento
A LastPass sofreu um ataque indireto por meio de um fornecedor terceirizado, a Klue, que tinha acesso OAuth aos sistemas de CRM da empresa no Salesforce. O invasor não chegou aos cofres de senhas nem ao sistema Gong, mas obteve dados de contato e informações de vendas de clientes, tipo de dado que serve como base para ataques de engenharia social direcionados. Esse cenário ilustra como a cadeia de suprimentos digitais se tornou o ponto mais frágil: mesmo com infraestrutura interna imune, uma única conexão mal protegida em um parceiro pode expor milhares de registros.
A resposta da LastPass foi técnica e ágil: rotação imediata dos tokens OAuth, suspensão do acesso dos funcionários à Klue e compartilhamento ativo de indicadores de comprometimento com a comunidade de segurança. Isso mostra maturidade em gestão de risco externo, mas também expõe uma realidade comum: empresas confiam em integrações de terceiros sem verificar profundamente a segurança dos tokens de acesso. A proteção de dados não termina no firewall da sua empresa.
Por que isso importa
Essa falha não afetou a segurança dos cofres da LastPass, mas expôs dados que são mais valiosos para atacantes do que senhas em muitos casos: nomes, e-mails, números de telefone e históricos de suporte. Com essas informações, criminosos montam campanhas de phishing altamente personalizadas, disfarçadas de comunicações oficiais da LastPass. Clientes que confiam na marca podem cair em armadilhas que parecem legítimas, e isso é exatamente o que a empresa alerta ao pedir cautela com contatos não solicitados. A lição é clara: quando sua empresa usa SaaS externos, ela não só contrata um serviço, mas também assume o risco da segurança dele.
Linha do tempo
Incidente ocorre na Klue, com invasores obtendo tokens OAuth de clientes, incluindo a LastPass.
LastPass divulga publicamente o incidente e detalha a resposta técnica e as medidas de mitigação.
Perguntas frequentes
Meus dados de senha da LastPass foram vazados?
Não. O ataque atingiu apenas os sistemas de CRM da LastPass no Salesforce, por meio de tokens OAuth da Klue. Os cofres de senhas, criptografados com a chave mestra do usuário, permanecem inacessíveis. Nenhum dado de autenticação do produto principal foi exposto.
O que devo fazer se recebi um e-mail suspeito parecido com o da LastPass?
Nunca clique em links ou envie informações em e-mails não solicitados, mesmo que pareçam oficiais. A LastPass nunca pede sua senha mestra por e-mail, telefone ou chat. Verifique sempre o remetente e use apenas os canais oficiais de suporte, como support.lastpass.com. Denuncie o e-mail para [email protected].
A Klue é uma empresa confiável?
A Klue é uma plataforma de inteligência de mercado usada por várias empresas, mas esse incidente mostra que ela não tinha controles suficientes sobre tokens OAuth. O problema não é a empresa em si, mas a falta de limitação de permissões e monitoramento de acessos em integrações de terceiros, algo que qualquer empresa que use SaaS precisa exigir em seus contratos.
Por que o acesso ao Gong não foi comprometido?
A Klue tinha integração com o Gong, mas os tokens OAuth expostos não tinham permissão para acessar dados desse sistema. Isso sugere que a LastPass aplicou princípios de menor privilégio nas conexões entre plataformas, uma boa prática que evitou que o ataque se espalhasse além do Salesforce.
Fontes
- blog.lastpass.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 24 de junho de 2026
- Editoria
- CEVIU Segurança da Informação