Dados de usuários do LastPass foram expostos em um novo incidente de segurança. O vazamento ocorreu após um ataque à Klue, plataforma de inteligência de mercado utilizada pela companhia, e não comprometeu as senhas guardadas no gerenciador.
- 5 apps gerenciadores de senhas gratuitos e confiáveis
- Passkey | O que é o login que dá fim às senhas?
Os detalhes oficiais foram compartilhados nesta segunda-feira (22). Em nota, a empresa informa que tomou ciência da falha de segurança na plataforma parceira, que é integrada à instâncias internas do Salesforce e Gong, em 12 de junho.
A brecha impactou diversas empresas, incluindo o LastPass. Durante a investigação, os desenvolvedores constataram que um agente não autorizado obteve acesso a tokens OAuth, credenciais temporárias para acessar dados de outros serviços, durante a ação.
-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-
O código de acesso, então, foi utilizado para coletar dados de sistemas conectados à plataforma, como o ambiente Salesforce do gerenciador de senhas.
“As medidas de correção foram concluídas, e os tokens OAuth da Klue que haviam sido expostos já foram renovados”, diz o comunicado da LastPass.
De acordo com o portal TechCrunch, os clientes atingidos pelo vazamento foram notificados por e-mail.
Gerenciador não foi comprometido
A ação impactou apenas dados comerciais, e não há registro de acesso a senhas guardadas no gerenciador até o momento. Neste caso, o incidente atingiu informações registradas na instância Salesforce, acessadas por meio de um serviço de terceiros como a Klue.
“Os produtos, serviços e a infraestrutura do LastPass não foram afetados de forma alguma, e os cofres dos clientes permanecem seguros. Também não há evidências de que o agente da ameaça tenha acessado quaisquer dados relacionados ao Gong”, disse a empresa.
Quais dados foram acessados?
As informações acessadas foram limitadas a dados de contato comerciais padrão e de gestão de relacionamento com o cliente (CRM). Confira a lista:
- Nomes de clientes;
- Números de telefone;
- Endereços de e-mail e endereços físicos;
- Dados de casos de suporte;
- Informações relacionadas a vendas.
A empresa também orientou os usuários a permanecerem vigilantes a potenciais ataques de phishing e abordagens com técnicas de engenharia social que utilizem os dados expostos para torná-los mais convincentes.
“Tenha sempre cautela com comunicações não solicitadas, incluindo e-mails, telefonemas ou solicitações de informações confidenciais”, diz o alerta. “Lembre-se de que ninguém da LastPass jamais solicitará sua senha mestra.”
Ataques a gerenciadores de senhas
Esta não é a primeira brecha de segurança envolvendo a LastPass. Em 2022, a empresa confirmou um ataque que comprometeu o código-fonte da plataforma, após a conta de um desenvolvedor ser invadida.
No mês seguinte, foi constatado que os cibercriminosos tiveram acesso aos sistemas por quatro dias. Mais tarde, a empresa confirmou que a invasão resultou no furto de senhas criptografadas dos usuários do app.
Em 2023, foi a vez do 1Password. Similar ao caso do LastPass, o ataque foi registrado ao detectar uma atividade suspeita em uma instância Okta relacionada ao sistema de suporte. As informações de clientes, no entanto, não foram comprometidas.
No começo de junho de 2026, um ataque à Dashlane foi confirmado após tentativa de invasão por força bruta a contas de usuários. Na ocasião, a empresa informou que os hackers conseguiram baixar cópias criptografias de menos de 20 usuários do plano pessoal.
Leia a matéria no Canaltech.