A LastPass confirmou que dados de clientes foram acessados por criminosos após um ataque cibernético contra a Klue, empresa terceirizada utilizada pela companhia para atividades de inteligência de mercado e integração com sistemas corporativos. O incidente reacende as preocupações em torno da segurança de um dos gerenciadores de senhas mais conhecidos do mercado.
Segundo a empresa, os invasores obtiveram acesso a informações armazenadas em sistemas de relacionamento com clientes, incluindo nomes, endereços de e-mail, números de telefone, endereços físicos e registros de atendimento ao cliente. Dados relacionados a vendas e interações de suporte também podem ter sido expostos.
A LastPass afirma que seus sistemas principais não foram comprometidos e que os cofres de senhas dos usuários permaneceram protegidos. A empresa informou que não há evidências de acesso às senhas armazenadas, às chaves mestras ou à infraestrutura central do serviço.
O ataque teve origem na Klue, uma plataforma de inteligência de mercado que se integra a ferramentas corporativas como Salesforce. Segundo as investigações, criminosos teriam obtido tokens OAuth utilizados pelas integrações, permitindo acesso a informações armazenadas em ambientes conectados.
Diversas empresas de tecnologia e segurança também relataram impactos relacionados ao incidente na Klue, demonstrando como ataques à cadeia de fornecedores continuam sendo uma das principais ameaças à segurança corporativa.
A LastPass informou que revogou os tokens comprometidos, interrompeu o acesso da plataforma terceirizada aos seus ambientes e iniciou uma investigação conjunta com a Klue e outros parceiros tecnológicos. As autoridades competentes também foram notificadas.
Embora as senhas armazenadas não tenham sido comprometidas, especialistas alertam que os dados expostos podem ser utilizados em campanhas de phishing e engenharia social. Informações de contato e históricos de atendimento podem tornar golpes mais convincentes e direcionados.
A empresa recomenda que os usuários fiquem atentos a e-mails, mensagens ou ligações suspeitas que utilizem o nome da LastPass. A companhia reforça que nunca solicita a senha mestra dos usuários e orienta que qualquer comunicação seja verificada pelos canais oficiais.
O episódio também ocorre em um contexto delicado para a empresa. Nos últimos anos, a LastPass enfrentou outros incidentes de segurança que afetaram a confiança de parte dos usuários e levaram a investigações, multas regulatórias e ações judiciais em diversos países.
O novo caso demonstra como ataques à cadeia de suprimentos digital podem atingir empresas de tecnologia mesmo quando seus sistemas principais permanecem protegidos. Para especialistas, a gestão de acessos de terceiros e o monitoramento contínuo de integrações se tornaram elementos essenciais da estratégia moderna de cibersegurança.
