LastPass lekt persoonlijke gegevens van klanten uit Salesforce-omgeving

In dit artikel:

LastPass meldt dat persoonsgegevens van klanten zijn buitgemaakt via de eigen Salesforce-omgeving. Het gaat om namen, telefoonnummers, e-mailadressen, adressen en gegevens rond supportverzoeken en verkoop. Volgens het bedrijf vond de inbraak niet direct bij LastPass zelf plaats, maar bij Klue, een leverancier van een market-intelligenceplatform dat gekoppeld was aan systemen van LastPass, waaronder Salesforce en Gong.

Een aanvaller zou bij Klue OAuth-tokens hebben gestolen, waardoor toegang mogelijk werd tot de gekoppelde klantomgevingen en data van LastPass kon worden gekopieerd. LastPass zegt niet hoeveel klanten precies zijn getroffen. Het bedrijf heeft uit voorzorg de toegang van personeel tot Klue beëindigd en alle API-access-tokens vervangen. Klanten worden gewaarschuwd extra alert te zijn op phishing. Het incident volgt op een eerder groot datalek bij LastPass, waarvoor het bedrijf eind vorig jaar nog een boete van 1,4 miljoen euro kreeg.