Перейти к основному контенту
LiMP VPN
Все новости

Взлом Klue: утечка данных клиентов LastPass, 2026

Взлом Klue: утечка данных клиентов LastPass, 2026

Коротко: В июне 2026 года вымогательская группа Icarus проникла в Klue — SaaS-платформу рыночной аналитики — через учётные данные, созданные ещё в 2022 году для прототипа интеграции, который так и не запустили и не отозвали. Оттуда злоумышленники украли OAuth-токены, связывающие Klue с CRM-системами Salesforce её клиентов, и выкачали контактные и сервисные данные минимум 12 компаний, включая менеджер паролей LastPass. Хранилища и мастер-пароли не пострадали, но утекли имена, почты, телефоны и история обращений — именно то, что питает адресный фишинг.

Что произошло

12 июня 2026 года злоумышленники взломали Klue — платформу конкурентной разведки, которую многие ИТ-компании подключают к своему отделу продаж. Они не взламывали шифрование. Вместо этого они переиспользовали старый ключ доступа, выданный в 2022 году для прототипа сторонней интеграции: проект забросили, но ключ не отозвали. Одной этой забытой учётки хватило, чтобы попасть в инфраструктуру Klue, где хранились OAuth-токены для сред Salesforce её клиентов.

23 июня 2026 года LastPass подтвердил, что через эту цепочку получили доступ к его CRM-данным в Salesforce, а группа Icarus начала выкладывать материалы на своём сайте вымогателей. Если хотите понять, всплыли ли где-то ваши данные, наш разбор — как проверить, утекли ли ваши персональные данные — показывает порядок действий.

Как «забытый» токен открыл двери

Это классическая атака на цепочку поставок. Когда вы подключаете SaaS-приложение вроде Klue к Salesforce, вы выдаёте ему OAuth-токен — долгоживущий ключ, позволяющий приложению читать вашу CRM без ввода пароля каждый раз. Такие токены удобны, но это ключ «на предъявителя»: кто им владеет, тот и действует от имени подключённого приложения.

Поскольку прототипный ключ 2022 года так и не отозвали, злоумышленники добрались через него до хранилища токенов Klue, а затем выдавали себя за Klue перед Salesforce каждого клиента. Salesforce и аналитический сервис Gong в ответ полностью отключили интеграцию с Klue. Вывод неприятный: ваша собственная защита может быть безупречной, но устаревший ключ партнёра всё равно вскрывает ваши данные.

Кого затронуло и какие данные утекли

Пострадали минимум 12 организаций, среди них LastPass, HackerOne, Recorded Future, Tanium, Huntress, ReliaQuest, Jamf, Snyk, BeyondTrust, Sprout Social, Gong и OneTrust. В утёкших записях — имена клиентов, адреса электронной почты, номера телефонов, физические адреса, а также содержимое обращений в поддержку и заметки по продажам.

Важно для пользователей LastPass: компания подчёркивает, что зашифрованные хранилища паролей, мастер-пароли и ключевая инфраструктура не скомпрометированы — взлом затронул контактные CRM-данные, а не сами секреты. Это существенно отличается от полного слива учёток, как в нашем материале о утечке миллиардов паролей через инфостилеры, но утёкшие контакты и переписка с поддержкой всё равно ценны для мошенников.

Чем это опасно для вас и ваших данных

Даже когда пароли в безопасности, утёкшие имена, почты и история обращений — первоклассное сырьё для фишинга. Злоумышленник, который знает, что вы клиент LastPass, имеет вашу почту и может процитировать недавнее обращение в поддержку, легко составит письмо, выглядящее как настоящее внутреннее, — а именно с этого и начинается угон аккаунта. К любому неожиданному «письму от безопасности», особенно со ссылкой на реальный тикет, относитесь с подозрением.

Более широкий вывод — про ваш цифровой след. Каждый SaaS-сервис и сторонняя интеграция, где лежат ваши данные, расширяют поверхность, до которой злоумышленник может дотянуться через чужую ошибку. Чем в меньшем числе мест хранятся ваши данные и чем меньше висит забытых интеграций, тем меньше радиус поражения, когда взламывают партнёра.

Как защититься

Ждите адресного фишинга и не торопитесь. После взлома CRM следите за письмами, где используют ваше настоящее имя и историю обращений. Никогда не переходите по ссылкам для входа из непрошеных писем — откройте сервис сами и проверьте. Признаки атаки разобраны в нашем гайде как защитить аккаунт от взлома.

Включите надёжную двухфакторную аутентификацию. Устойчивые к фишингу методы — passkeys или приложение-аутентификатор — не дают украденному паролю превратиться в украденный аккаунт.

Проверьте и отзовите доступы сторонних приложений. В аккаунтах Google, Microsoft и других удалите OAuth-подключения и интеграции, которыми больше не пользуетесь, — риск устаревшего токена касается и обычных людей, а не только компаний.

Шифруйте соединение в недоверенных сетях. VPN не отменит взлом партнёра, но в публичном или общем Wi-Fi он уводит трафик в шифрованный туннель, из-за чего злоумышленники в той же сети не перехватят ваши сессии и не прочитают данные. LiMP VPN — no-logs-сервис для iOS и Android; смотрите возможности и тарифы, а больше новостей о приватности — в нашем блоге.

Источники

Материал основан на публикациях BleepingComputer и The Hacker News, а также русскоязычного разбора SecurityLab.

Взлом Klue: утечка данных клиентов LastPass, 2026 | LiMP VPN