密码管理工具 LastPass 在博客披露一起数据泄露事件。攻击者入侵其合作伙伴 Klue,窃取了相关授权令牌,随后利用这些令牌访问了 LastPass 的客户管理系统,获得了部分客户资料。不过,LastPass 表示此次事件未涉及密码库、主密码或其他密码相关数据泄漏。@Appinn
Klue 是一家销售情报服务商,与 LastPass 的客户管理系统(Salesforce)存在数据集成。攻击者从 Klue 窃取了相关访问令牌后,进入了 LastPass 的 Salesforce 环境,并获取了部分客户资料。
受影响的数据主要包括姓名、邮箱、电话号码、公司信息以及客服工单记录等。LastPass 表示,密码库、主密码、加密密钥和核心服务均未受到影响。
一个简单的比喻
银行金库没被抢,但银行外包的客服系统被攻破了,导致客户姓名、电话和服务记录泄露。
具体时间线
以下时间线综合 LastPass 官方公告及第三方安全机构公开调查整理,部分日期来自安全厂商对 Klue 事件的后续分析,并非全部由 LastPass 官方确认。
2026 年 6 月 11 日
- 攻击者入侵 Klue 的后端系统。
- Huntress 表示,攻击者向 Klue 的集成系统推送恶意代码,用于收集客户 OAuth 访问令牌。
2026 年 6 月 12 日
- Klue 发现异常活动并展开调查。
- Klue 向客户发出安全事件通知。
- LastPass 官方确认,其于 6 月 12 日获悉 Klue 发生安全事件。
2026 年 6 月 12 日至 13 日
- 攻击者利用从 Klue 窃取的 OAuth 令牌访问客户系统。
- LastPass 官方确认,攻击者利用 Klue 持有的 OAuth 凭据访问了 LastPass 的 Salesforce 客户管理系统。
2026 年 6 月 13 日
- Klue 撤销全部客户 OAuth 令牌。
- 临时关闭 Salesforce、Gong、Slack、Google Drive 等集成服务。
2026 年 6 月 16 日
- 部分受害企业开始收到勒索邮件。
- Huntress 披露,攻击者声称已经下载相关 Salesforce 数据。
2026 年 6 月 17 日
- Salesforce 发现异常活动。
- Salesforce 禁用了 Klue Battlecards 应用与 Salesforce 的连接。
2026 年 6 月 19 日
- 多家企业开始确认受到影响。
- Huntress、Recorded Future 等公司公开表示其 Salesforce 数据遭到访问。
2026 年 6 月 22 日
- 攻击组织 Icarus 在泄露网站公布部分受害者信息。
- 更多受害企业陆续浮出水面。
2026 年 6 月 23 日
- LastPass 发布官方公告。
- LastPass 确认攻击者获取了客户姓名、邮箱、电话、地址以及客服工单记录等数据。
- LastPass 表示其基础设施、密码库(Vault)、主密码及加密密钥均未受到影响。
来源
原文:
