O LastPass, um dos gestores de palavras-passe mais utilizados no mundo, notificou os seus clientes sobre uma violação de dados que resultou da exposição de informações pessoais e registos de suporte. A origem do incidente não está nos sistemas do próprio LastPass, mas num ataque à cadeia de fornecimento que comprometeu a plataforma Klue — um serviço de inteligência de mercado utilizado pela empresa.
O que aconteceu
A 12 de junho de 2026, o LastPass foi informado de um incidente ocorrido na Klue. Os atacantes obtiveram tokens OAuth que a Klue detinha em nome dos seus clientes, incluindo o LastPass, e usaram essas credenciais temporárias para aceder a dados armazenados no ambiente Salesforce da empresa. O grupo de extorsão Icarus, ativo desde finais de abril de 2026, reivindicou a responsabilidade pelo ataque e ameaçou divulgar os dados caso não seja pago um resgate.
O incidente na Klue afetou igualmente outras organizações de cibersegurança e tecnologia, incluindo HackerOne, Recorded Future, Tanium, Jamf, Sprout Social e Gong.
Que dados foram expostos
Os dados acedidos pelos atacantes incluem nomes de clientes, números de telefone, endereços de email e postais, e registos de casos de suporte ao cliente. Os cofres de palavras-passe dos utilizadores, as passwords mestras e a infraestrutura do LastPass não foram afetados. A empresa bloqueou o acesso dos seus colaboradores à Klue, fez a rotação dos tokens expostos e notificou as autoridades competentes.
O que fazer se é cliente LastPass
Os dados expostos — nomes, emails e histórico de suporte — são suficientes para alimentar campanhas de phishing direcionadas. Os clientes devem estar particularmente atentos a comunicações não solicitadas que pareçam ser do LastPass, especialmente as que peçam credenciais, dados de pagamento ou ações urgentes. A empresa alertou ainda para domínios fraudulentos associados ao grupo Icarus que podem ser utilizados nestas campanhas.
Porque é que isto importa
Este incidente é mais um exemplo do impacto que um ataque a um fornecedor terceiro pode ter em múltiplas organizações simultaneamente — o chamado ataque à cadeia de fornecimento. Para o LastPass, é a segunda vez em poucos anos que os seus clientes são afetados por uma violação de dados: em 2022, um ataque direto expôs cofres de palavras-passe encriptados que foram posteriormente usados em roubos de criptomoedas.
Esta informação tem carácter noticioso e baseia-se em comunicados oficiais do LastPass, TechCrunch, Bleeping Computer e Help Net Security.