LastPass potwierdził, że dane osobowe i informacje z systemów wsparcia klientów trafiły w ręce hakerów poprzez włamanie do Klue, zewnętrznego dostawcy rozwiązań analitycznych zajmującego się analizą konkurencji. Atakujący uzyskali dostęp do tokenów OAuth, które umożliwiały im penetrację środowiska Salesforce LastPass, gdzie przechowywane były czułe informacje.
Na szczęście dla użytkowników, sam system przechowujący zaszyfrowane hasła LastPass nie został dotknięty atakiem. Włamanie ograniczyło się do danych przechowywanych w systemach CRM i wsparcia technicznego - wśród nich znajdowały się imiona, numery telefonów oraz adresy e-mail klientów. To kolejny przykład rosnącego trendu ataków łańcuchowych, gdzie hakerzy zamiast atakować bezpośrednio duże firmy, kierują się na ich dostawców o słabszych systemach bezpieczeństwa.
Incydent potwierdza znaczenie rygorystycznego zarządzania dostępem do krytycznych systemów przez zewnętrznych partnerów i zwraca uwagę na konieczność szczególnej ostrożności przy udzielaniu uprawnień takim jak tokeny OAuth. LastPass przechodzi już przez okres zwiększonej kontroli bezpieczeństwa po wcześniejszych problemach z bezpieczeństwem, co czyni ten nowy wyciek potencjalnie szkodliwym dla reputacji firmy.