Le 12 juin, LastPass a été informé d’un incident de sécurité chez Klue, une plateforme tierce utilisée par les équipes commerciales du gestionnaire de mots de passe. Des attaquants ont réussi à obtenir des jetons d’authentification OAuth que Klue conservait pour plusieurs clients, dont LastPass. Ces identifiants ont ensuite été utilisés pour accéder à des données clients de LastPass stockées dans son environnement Salesforce.

Une fuite par procuration

L’incident, qui se limite aux systèmes connectés à Klue, n’a pas affecté les produits, services et infrastructures de LastPass. Les coffres-forts des utilisateurs sont restés en sécurité. L’entreprise a coupé l’accès de ses employés à Klue, renouvelé les jetons d’accès API compromis et lancé une enquête avec Klue et Salesforce. L’affaire a été signalée aux autorités.

Les données compromises concernent des informations CRM et commerciales : nom des clients, numéros de téléphone, adresses email et postales, données des tickets de support, informations commerciales et de vente. LastPass affirme qu’aucun mot de passe maître n’a été compromis. Les informations dérobées pourraient toutefois servir à alimenter des campagnes de hameçonnage ciblé.

LastPass recommande à ses clients de faire preuve d’une vigilance renouvelée sur les courriels, les appels téléphoniques et les demandes d’informations non sollicitées. Elle ne réclamera jamais un mot de passe maître à un utilisateur.

L’entreprise, qui compte plus de 33 millions d’utilisateurs, dont 1,6 million de clients payants (chiffres de 2024), a déjà été touchée par une importante fuite de données en 2022, qui aurait notamment servi à escroquer des détenteurs de portefeuilles de cryptomonnaies.

L’incident de sécurité chez Klue a également touché d’autres sociétés, dont Titanium, Jamf, Gong, HackerOne ou encore Sprout Social.