A LastPass, um dos maiores gestores de senhas do mundo, revelou que dados de clientes foram comprometidos depois que atacantes usaram tokens OAuth roubados na plataforma Klue para acessar seu ambiente Salesforce. A violação, detectada em 12 de junho de 2026, expôs nomes, e-mails, endereços, telefones e dados de suporte. O ataque à cadeia de suprimentos também atingiu Recorded Future, Tanium, Huntress e centenas de empresas conectadas ao app Klue Battlecards via integrações Salesforce — um dos maiores incidentes de supply chain do ano.
Dados de clientes vazam via Klue
Como o ataque funcionou
O grupo de ameaças rastreado como Icarus comprometeu o aplicativo Klue Battlecards, uma ferramenta de inteligência de mercado que se integra ao CRM de organizações por meio de conexões OAuth. A Klue é usada por equipes de vendas para acessar informações competitivas diretamente dentro do Salesforce, Gong e outras ferramentas comerciais.
Ao comprometer o app da Klue, o atacante obteve os tokens OAuth que autorizavam a integração com os sistemas Salesforce de centenas de clientes simultaneamente. Com esses tokens em mãos, o Icarus acessou diretamente os dados de CRM de cada organização conectada — sem precisar violar cada empresa individualmente. Trata-se de um ataque à cadeia de suprimentos digital clássico: um único ponto de falha no ecossistema de integrações SaaS gera impacto massivo e em cascata.
A Salesforce confirmou que não há indicação de vulnerabilidade em sua própria plataforma e desabilitou todas as conexões via Klue Battlecards até segunda ordem. A Klue reteve a CrowdStrike para conduzir investigação forense completa e está revisando todos os seus controles de segurança, gestão de credenciais e processos de implantação.
- 11 de junho: grupo Icarus compromete o app Klue Battlecards e rouba tokens OAuth de integrações Salesforce
- 12 de junho: LastPass é notificada do incidente; Salesforce desabilita todas as conexões via Klue Battlecards
- 18 de junho: LastPass confirma que atacantes acessaram dados de CRM via tokens OAuth roubados; tokens são rotacionados
- 23 de junho: Icarus publica dados roubados e contacta empresas afetadas; Huntress, Recorded Future e Tanium confirmam exposição
Vítimas e dados comprometidos
A LastPass informou que o atacante acessou dados padrão de CRM — nomes, e-mails, endereços físicos, telefones e informações de casos de suporte e vendas. Produtos, serviços e infraestrutura da LastPass não foram afetados. Os tokens OAuth da Klue foram imediatamente rotacionados.
| Empresa | Dados Comprometidos | Sistemas Internos |
|---|---|---|
| LastPass | Nomes, e-mails, endereços, telefones, dados de suporte e vendas | Não afetados |
| Tanium | Nomes, cargos, e-mails corporativos, handles de redes sociais | Não afetados |
| Recorded Future | Nomes, e-mails de clientes, informações sobre contratos comerciais | Não afetados |
| Huntress | Dados de CRM da Salesforce | Não afetados |
A Mandiant confirmou que o grupo Icarus iniciou contato direto com empresas cujos dados foram roubados, prática que indica possível tentativa de extorsão ou chantagem. A Huntress, que também foi vítima, destacou que nenhum sistema interno foi comprometido — reforçando que o impacto se concentrou nos dados armazenados no Salesforce via integração com a Klue.
Riscos de tokens OAuth
O caso expõe um problema estrutural na gestão de integrações SaaS: tokens OAuth de terceiros frequentemente herdam permissões amplas e permanecem sem monitoramento rigoroso. Quando um app conectado é comprometido, o atacante herda automaticamente o nível de acesso que cada organização concedeu — muitas vezes sem revisão periódica. Modelos de segurança baseados em confiança implícita em apps de terceiros criam superfícies de ataque desproporcionais ao valor que agregam.
Organizações devem tratar tokens OAuth como credenciais privilegiadas, sujeitos às mesmas políticas de rotação, monitoramento e revogação aplicadas a senhas de administrador. A dependência crescente de ecossistemas de integração SaaS torna esse tipo de ataque cada vez mais provável e devastador.
Proteção contra riscos similares
- Audite integrações OAuth ativas — liste todos os apps conectados ao Salesforce e demais plataformas SaaS. Revogue permissões de apps que não sejam essenciais ou que tenham acesso excessivo a dados de CRM.
- Monitore sessões OAuth — configure alertas para acessos originados de novos IPs ou geolocalizações incomuns por meio de integrações de terceiros. Detecção rápida pode limitar o volume de dados exfiltrados.
- Reduza o escopo de permissões — conceda apenas os dados mínimos necessários para cada integração. Uma ferramenta de inteligência de mercado não precisa de acesso a informações de suporte ao cliente.
- Crie políticas de resposta para incidentes em cadeias de suprimentos que incluam procedimentos de revogação imediata de tokens OAuth de fornecedores comprometidos, notificação de equipes jurídicas e comunicação transparente com clientes afetados.
Fontes
- Klue Supply Chain Incident & LastPass Response — LastPass Blog, 18 de junho de 2026
- Klue investigating supply chain attack that targeted Salesforce integrations — Cybersecurity Dive, 23 de junho de 2026