O LastPass registrou um novo incidente de segurança que resultou na exposição de dados de seus usuários. A violação ocorreu por meio de um ataque à Klue, uma plataforma de inteligência de mercado utilizada pela empresa, e não afetou as senhas armazenadas no gerenciador.
Os detalhes do ocorrido foram divulgados oficialmente nesta segunda-feira (22). De acordo com a companhia, o problema na plataforma parceira — que possui integração com sistemas internos do Salesforce e do Gong — foi identificado no dia 12 de junho.
A vulnerabilidade afetou múltiplas empresas. As investigações apontam que os invasores conseguiram acesso a tokens OAuth (credenciais temporárias de autenticação) e utilizaram esses códigos para coletar informações de sistemas conectados, incluindo o ambiente Salesforce do LastPass.
“As medidas de correção foram concluídas, e os tokens OAuth da Klue que haviam sido expostos já foram renovados”, informou o LastPass em nota. Segundo o portal TechCrunch, os usuários afetados já estão sendo avisados por e-mail.
Infraestrutura e cofres de senhas permanecem seguros
A empresa enfatizou que a invasão se limitou estritamente a dados comerciais e não há qualquer indício de que o gerenciador de senhas ou a infraestrutura principal tenham sido comprometidos. O acesso indevido ocorreu exclusivamente nas informações do Salesforce via serviço de terceiros.
“Os produtos, serviços e a infraestrutura do LastPass não foram afetados de forma alguma, e os cofres dos clientes permanecem seguros. Também não há evidências de que o agente da ameaça tenha acessado quaisquer dados relacionados ao Gong”, reiterou a companhia.
Quais informações foram acessadas?
O vazamento ficou restrito a dados padrão de contatos comerciais e de gestão de relacionamento (CRM), englobando:
- Nomes de clientes;
- Números de telefone;
- Endereços físicos e de e-mail;
- Históricos e dados de casos de suporte;
- Informações de vendas.
Diante do cenário, o LastPass recomendou que os usuários fiquem alertas contra possíveis tentativas de phishing e golpes de engenharia social, já que os criminosos podem usar os dados vazados para tornar as abordagens mais verossímeis.
A recomendação é desconfiar de comunicações não solicitadas e lembrar que funcionários do LastPass nunca pedem a senha mestra dos usuários.
Histórico de ataques no setor
Este não é o primeiro problema de segurança enfrentado pelo LastPass. Em 2022, a empresa sofreu um ataque que comprometeu seu código-fonte após a invasão da conta de um desenvolvedor. Posteriormente, descobriu-se que os invasores operaram no sistema por quatro dias, resultando no furto de cofres de senhas criptografados.
Outras empresas do segmento também já foram alvo:
- 1Password (2023): Detectou atividade suspeita em uma instância da Okta usada em seu sistema de suporte, mas os dados dos clientes não foram expostos.
- Dashlane (junho de 2026): Sofreu uma tentativa de invasão por força bruta, onde os hackers conseguiram baixar cópias criptografadas de cofres de menos de 20 usuários do plano individual.
