🔍 Contexte
Source : Hackread.com, publié le 23 juin 2026. LastPass a confirmé avoir été affecté par un incident de supply chain impliquant Klue, une plateforme de market intelligence utilisée par ses équipes go-to-market.
🎯 Nature de l’attaque
Un acteur malveillant non autorisé a exploité des tokens OAuth volés depuis la plateforme Klue pour accéder à l’environnement Salesforce de LastPass. Le groupe responsable, nommé Icarus, est décrit comme un nouveau groupe d’extorsion. Il a :
- Accédé aux systèmes backend de Klue
- Poussé une mise à jour de code malveillante
- Collecté les tokens OAuth utilisés par les intégrations clients
- Utilisé ces tokens pour interroger les environnements Salesforce et copier des données CRM
📅 Chronologie
- 12 juin 2026 : LastPass apprend l’incident via une notification de Klue
- 17 juin 2026 : Salesforce désactive l’infrastructure d’intégration de Klue Battlecards après détection d’activité inhabituelle
📦 Données exposées
Les données compromises sont limitées à l’environnement CRM Salesforce de LastPass :
- Noms de clients
- Numéros de téléphone
- Adresses email
- Adresses physiques
- Données de tickets de support
- Enregistrements liés aux ventes
Les produits, services, infrastructure et coffres-forts clients LastPass n’ont pas été affectés.
🛠️ Réponse de LastPass
- Rotation des tokens OAuth Klue exposés
- Suppression de l’accès employé à Klue
- Lancement d’une investigation avec Klue et Salesforce
- Notification des forces de l’ordre
- Publication d’indicateurs de compromission (adresses IP et domaines d’expéditeurs email)
📰 Type d’article
Il s’agit d’un rapport d’incident combinant une annonce officielle de LastPass et une analyse journalistique de l’attaque supply chain via Klue, destiné à informer les organisations utilisant des intégrations SaaS similaires.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Icarus (cybercriminal) —
TTP
- T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
- T1528 — Steal Application Access Token (Credential Access)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1114 — Email Collection (Collection)
- T1213 — Data from Information Repositories (Collection)
- T1485 — Data Destruction (Impact)
- T1059 — Command and Scripting Interpreter (Execution)
🟡 Indice de vérification factuelle : 35/100 (moyenne)
- ⬜ hackread.com — source non référencée (0pts)
- ✅ 3791 chars — texte complet (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 7 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : Icarus (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://hackread.com/lastpass-customer-data-breach-klue-oauth-token/