O LastPass confirmou que dados de clientes foram acessados por criminosos após um ataque a um fornecedor terceirizado. O incidente ocorreu em junho de 2026 e envolveu uma empresa chamada Klue, que fornecia ferramentas de inteligência de mercado para os times comerciais do LastPass.
Os criminosos não invadiram o LastPass diretamente, mas atacaram a Klue e roubaram os chamados tokens OAuth. Esse é um tipo de credencial digital que permite que sistemas diferentes se comuniquem sem que o usuário precise fazer login repetidamente.
Quando uma empresa conecta duas ferramentas, como o Klue ao Salesforce, essa integração funciona com tokens OAuth. Basicamente, é como uma chave digital que diz “este aplicativo tem permissão para acessar aquele sistema”.
O problema é que, se alguém roubar essa chave, consegue entrar no sistema conectado sem precisar de senha. Isso é exatamente o que aconteceu. Os criminosos obtiveram os tokens que o Klue guardava em nome dos seus clientes e os usaram para acessar os ambientes do Salesforce dessas empresas.
Como o ataque foi executado
Segundo o LastPass, um grupo de extorsão chamado Icarus conseguiu acesso ao backend do Klue, ou seja, à estrutura interna dos servidores da plataforma. De lá, os criminosos publicaram uma atualização maliciosa no software do Klue e coletaram os tokens OAuth de vários clientes da empresa.
Com esses tokens em mãos, o grupo passou a consultar os ambientes do Salesforce das empresas afetadas e copiou grandes volumes de dados de CRM. CRM, na sigla em inglês, é o sistema onde empresas guardam informações sobre clientes – como histórico de contato, negociações e dados pessoais.
O Salesforce detectou atividades suspeitas e desativou a integração do Klue Battlecards em 17 de junho de 2026. A própria plataforma afirmou que o problema não veio de uma vulnerabilidade no Salesforce, mas sim na conexão do aplicativo do Klue.
Quais dados do LastPass foram expostos
O LastPass informou que os dados acessados se limitaram a informações de CRM armazenadas no Salesforce. Isso inclui nomes de clientes, números de telefone, endereços de e-mail, endereços físicos, registros de suporte e dados relacionados a vendas.
A empresa foi enfática ao dizer que os produtos, serviços e a infraestrutura do LastPass não foram afetados. Os cofres de senhas dos usuários, onde ficam armazenadas as senhas salvas no aplicativo, permanecem seguros e sem nenhuma evidência de acesso.
O que o LastPass fez após o incidente
Assim que foi notificado, no dia 12 de junho de 2026, o LastPass interrompeu o acesso de todos os funcionários à plataforma Klue. A empresa também rotacionou os tokens OAuth expostos, ou seja, invalidou as chaves roubadas e gerou novas credenciais para impedir acessos futuros.
A companhia abriu uma investigação junto ao Klue e ao Salesforce e notificou as autoridades policiais. Também publicou indicadores de comprometimento, como endereços de IP e domínios de e-mail usados pelos atacantes, para ajudar outras organizações a identificarem atividades suspeitas em seus próprios sistemas.
O que os clientes devem fazer
O LastPass orienta que clientes fiquem atentos a tentativas de phishing e golpes de engenharia social. Isso porque dados como nome, telefone e e-mail, que foram expostos, podem ser usados para tornar golpes mais convincentes, simulando uma comunicação legítima da empresa.
A companhia reforçou que nenhum funcionário do LastPass vai pedir a senha mestra de um usuário em hipótese alguma. Toda comunicação oficial deve vir pelos canais de suporte verificados da empresa.
O caso do Klue evidencia um risco crescente nas cadeias de fornecimento de software. Quando empresas conectam múltiplas ferramentas por integrações automáticas, cada fornecedor adicional representa uma porta de entrada potencial para criminosos, mesmo que a empresa principal mantenha sua própria segurança em ordem.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.