LastPass、Klue侵害で顧客サポート情報が流出
原題: Password manager maker LastPass says hackers stole customer support case data during Klue breach
なぜ重要か
大手セキュリティ企業の連鎖的な侵害はサプライチェーンリスクの深刻化を示唆。エンタープライズ顧客の信頼低下につながる可能性。
パスワード管理企業LastPassは、技術パートナーのKlueの侵害によって顧客の個人情報とサポートケース記録が盗まれたと発表。顧客名、電話番号、メールアドレス、住所、サポートケースデータが流出。LastPass自体のシステムは影響を受けていない。Klueの侵害による被害企業はHackerOne、Recorded Future、Taniumなど複数。
パスワード管理大手のLastPassは、市場調査企業Klueのセキュリティ侵害の結果、顧客情報が盗まれたことを発表した。LastPassが6月23日に顧客向けメールで通知したところによると、攻撃者はKlueへのアクセスを悪用してLastPassの顧客データを大量に入手した。
盗まれた情報には、顧客の名前、電話番号、メールアドレス、住所、カスタマーサポートケースデータ、営業関連データが含まれる。ただしLastPass自身のインフラストラクチャは影響を受けておらず、顧客のパスワードボールト(暗号化された保管庫)は安全だという。
カスタマーサポートチケットの内容については不明だが、請求問題や アカウントアクセスの支援に関する情報が含まれると予想される。過去の類似事例では、認証情報や政府発行の身分証明書がサポートチケットに含まれていた。
Klueは6月12日に侵害を検出。ハッキングと恐喝グループの「Icarus」が侵害に関与したと主張し、身代金が支払われない場合は盗まれたデータを公開すると脅迫している。
Klueの侵害による被害企業にはHackerOne、Recorded Future、Taniumも含まれている。LastPassは2024年時点で3,300万以上のユーザーと約160万の有料顧客を保有。同社は2022年にも大規模な侵害を経験し、その際は顧客のパスワードボール全体が盗まれた。