LastPass har meddelat att en obehörig aktör utnyttjade stulna OAuth-tokens från den marknadsanalysplattform Klue, som används av LastPass’ go-to-market-team, för att komma åt kunddata lagrad i LastPass’ Salesforce-miljö.

Incidenten upptäcktes den 12 juni 2026 efter att Klue själv meddelade obehörig aktivitet till sina kunder. Klue integreras med affärsverktyg, inklusive Salesforce och Gong, vilket gjorde de stulna token värdefulla eftersom de kunde nå anslutna kunders system utan att behöva normala inloggningsuppgifter.

Enligt LastPass innebar det exponerade datat kundrelationsinformation inom Salesforce, inklusive kundnamn, telefonnummer, e-postadresser, fysiska adresser, supportärenden och försäljningsrelaterad data. Det är viktigt att notera att LastPass-produkter, -tjänster, -infrastruktur och kundskåp inte påverkades.

Denna händelse kommer efter tidigare rapporter om att Salesforce inaktiverade Klue Battlecards’ integrationsinfrastruktur den 17 juni 2026, efter att ovanlig aktivitet identifierades kring appens anslutning till Salesforce. Salesforce sa att problemet var begränsat till Klue’s app-anslutning och inte härrörde från en sårbarhet i själva Salesforce-plattformen.

Klue’s attack är kopplad till datastöld från flera företag som använder plattformen, och attacken utfördes av en ny extortion-grupp, Icarus. Gruppen fick tillgång till Klue’s backend-system, pushade en skadlig koduppdatering och skördade OAuth-tokens som användes för att fråga Salesforce-miljöer och kopiera CRM-data.

OAuth-tokens är utformade för att tillåta anslutna applikationer att dela information utan att användarna behöver logga in upprepade gånger. Denna bekvämlighet skapar dock risker när en tredje parts tjänst som håller dessa token komprometteras, eftersom angripare kan få åtkomst till anslutna system tills token återkallas eller roteras.

LastPass har slutfört åtgärderna och roterat de exponerade Klue-OAuth-token. Företaget har också avbrutit anställningstillträde till Klue, startat en utredning med Klue och Salesforce och meddelat polisen. Dess fortsatta respons inkluderar att dela tekniska detaljer med säkerhetscommunityn och implementera skyddsåtgärder för att minska risken för liknande incidenter.

För kunder rekommenderar LastPass försiktighet kring phishing- och social ingenjörskapsförsök, eftersom exponerade kontaktuppgifter och CRM-poster kan användas för att göra bedrägerier mer trovärdiga. Företaget påminner också användare om att LastPass-personal aldrig kommer att be om ett masterlösen och att officiella kommunikationskanaler kommer att komma från pålitliga LastPass-kanaler.

LastPass har publicerat indikationer på kompromettering relaterade till incidenten, inklusive IP-adresser och e-postavsändardomäner. Dessa detaljer är avsedda att hjälpa organisationer att granska loggar och identifiera aktivitet relaterad till Klue-kampanjen.

Denna händelse är ett exempel på hur attacker kan utnyttja tredje parts app-åtkomst för att nå Salesforce-data. Tidigare incidenter med komprometterade app-token och integrationer har visat hur SaaS-anslutningar kan bli en ingång även när den huvudsakliga plattformen inte är direkt bruten.