A LastPass confirmou um novo vazamento de dados após um ataque cibernético contra a Klue, empresa terceirizada utilizada pela companhia em operações de inteligência de mercado e gestão de relacionamento com clientes. O incidente resultou no acesso não autorizado a informações de usuários e reacendeu preocupações sobre a segurança do popular gerenciador de senhas.
Segundo a empresa, os invasores obtiveram acesso a dados armazenados em sistemas integrados ao fornecedor, incluindo nomes, endereços de e-mail, números de telefone, endereços físicos e registros de atendimento ao cliente. Informações relacionadas a interações de suporte e atividades comerciais também podem ter sido expostas.
A LastPass informou que seus sistemas principais não foram comprometidos e que os cofres de senhas permaneceram protegidos. A empresa afirma não haver indícios de acesso às senhas mestras dos usuários, aos cofres criptografados ou à infraestrutura central do serviço.
De acordo com as investigações iniciais, o ataque ocorreu por meio da Klue, plataforma que utiliza integrações corporativas e ferramentas de autenticação para compartilhar informações com clientes. Os criminosos teriam obtido acesso a tokens de autenticação utilizados em alguns desses ambientes.
A empresa afirmou que revogou imediatamente os acessos comprometidos, interrompeu as integrações afetadas e iniciou um processo de investigação em conjunto com especialistas em segurança digital e com a própria fornecedora.
Embora as senhas armazenadas não tenham sido expostas, especialistas alertam que as informações vazadas podem ser utilizadas em golpes de engenharia social. Dados de contato e históricos de atendimento podem ajudar criminosos a criar mensagens fraudulentas mais convincentes.
A LastPass orienta os usuários a permanecerem atentos a e-mails, mensagens e ligações suspeitas que utilizem o nome da empresa. A companhia reforça que nunca solicita senhas mestras, códigos de autenticação ou informações confidenciais por canais não oficiais.
O episódio amplia a discussão sobre riscos relacionados à cadeia de fornecedores. Ataques a empresas terceirizadas têm se tornado uma das principais portas de entrada para criminosos digitais, permitindo o acesso indireto a dados e sistemas de grandes organizações.
Nos últimos anos, a LastPass enfrentou outros incidentes de segurança que impactaram a confiança de parte dos usuários e aumentaram o escrutínio sobre as práticas de proteção de dados adotadas pela empresa.
Especialistas recomendam que usuários mantenham a autenticação em dois fatores ativada, utilizem senhas mestras fortes e monitorem possíveis tentativas de phishing após incidentes dessa natureza.
O novo caso reforça a importância da gestão de riscos de terceiros e do monitoramento constante das integrações corporativas, mostrando que mesmo empresas especializadas em segurança podem ser afetadas por vulnerabilidades em seus fornecedores.
