Gebruikers van LastPass kregen opnieuw slecht nieuws over een datalek. Op 23 juni stalen cybercriminelen klantgegevens van de populaire wachtwoordmanager. De aanval richtte zich dit keer niet op LastPass zelf, maar op een externe partner. Het gaat om Klue, een platform voor marktonderzoek. LastPass gebruikt dit platform voor verkoop en voor ondersteuning van de klantenservice.
De aanvallers drongen de systemen van Klue binnen en namen daar OAuth-tokens mee. Dat zijn digitale toegangssleutels waarmee apps onderling communiceren zonder steeds een wachtwoord. Met die sleutels kregen de criminelen toegang tot de Salesforce-omgeving van LastPass. Daar vonden zij vervolgens de gestolen gegevens.
Welke gegevens liggen nu op straat? De wachtwoorden zelf blijven gelukkig veilig. Wel buitten de aanvallers volledige namen, telefoonnummers, e-mailadressen en postadressen uit. Ook de tickets van de klantenservice raakten in verkeerde handen. Die tickets liggen gevoeliger, want ze bevatten vaak specifieke context. Denk aan accountproblemen of de IT-structuur van bedrijven.
Het is niet de eerste keer dat LastPass dit overkomt. In 2022 was de wachtwoordmanager zelf het doelwit van een aanval. Toen stalen criminelen complete wachtwoordkluizen van gebruikers. Die kluizen zaten vol wachtwoorden, notities, persoonlijke gegevens en creditcardnummers. Dit nieuwe incident wijst opnieuw op de risico’s rond externe partners.
