O ataque e o impacto inicial
A LastPass é a mais recente empresa de segurança cibernética a divulgar os impactos do ataque à Klue, que resultou em acesso não autorizado a instâncias do Salesforce de clientes.
Um agente de ameaça que se autodenomina Icarus utilizou uma credencial legada comprometida para acessar os sistemas da Klue e gerar tokens do protocolo OAuth (protocolo aberto de autorização utilizado para acessar aplicações de terceiros) com o objetivo de invadir plataformas integradas pela Klue, como o Salesforce.
O Icarus então acessou as instâncias conectadas do Salesforce e exfiltrou dados em massa, utilizando scripts automatizados. O Salesforce e a Gong desativaram a integração com a Klue em resposta ao ataque, e mais de uma dúzia de organizações já confirmaram o impacto.
Notificações de incidentes emitidas pelas empresas afetadas revelam que os atacantes acessaram dados comerciais disponíveis por meio da integração com a Klue, e que nenhum sistema interno foi comprometido.
Resposta da LastPass
O comunicado da LastPass segue a mesma linha: "As informações acessadas se limitaram a dados padrão de contato comercial e dados relacionados à gestão de relacionamento com o cliente (CRM, na sigla em inglês), incluindo nomes de clientes, números de telefone, endereços de e-mail e endereços físicos, bem como dados de casos de suporte e dados relacionados a vendas."
A empresa afirma que descontinuou o acesso à Klue, rotacionou os tokens expostos, notificou as autoridades policiais e iniciou uma investigação em conjunto com a Klue e o Salesforce.
"É importante destacar que o escopo deste incidente se limita apenas aos sistemas que se integram ao aplicativo da Klue. Os produtos, serviços e infraestrutura da LastPass não foram afetados de forma alguma, e os cofres dos clientes permanecem seguros. Também não há evidências de que o agente de ameaça tenha acessado dados relacionados à Gong", afirmou a LastPass.
Outras empresas afetadas
Nesta semana, além da LastPass, a 8x8 e a Pendo anunciaram que foram afetadas.
No final da semana passada, HackerOne, Huntress, Insurity, Jamf, OneTrust, Recorded Future, Snyk, Sprout Social e Tanium divulgaram o impacto do ataque. A BeyondTrust também afirmou que informações de contato comercial e dados relacionados a vendas foram roubados de sua instância do Salesforce, mas a notificação passou despercebida.
Próximos passos e investigações
Em seu site de vazamentos baseado na rede Tor (rede de anonimato), o Icarus listou diversas organizações cujos dados do Salesforce foram roubados, incluindo a Gms-net, provedora suíça de soluções de comunicação com inteligência artificial (IA). A SecurityWeek enviou um e-mail à empresa de tecnologia solicitando um posicionamento e atualizará este artigo caso ela responda.
O site do Icarus está atualmente fora do ar, mas, antes de ficar inacessível, listava pelo menos outras quatro empresas que ainda não divulgaram publicamente ter sido afetadas pelo incidente da Klue, o que eleva o número de vítimas para cerca de 15.
Segundo estimativas da Huntress, no entanto, é provável que diversos outros clientes da Klue tenham sido afetados pelo vazamento de dados e devem se manifestar em breve.
