Klue erkent: vergeten inloggegeven uit pilot van 2022 was de toegangspoort
Klue heeft inmiddels de oorzaak bevestigd: de aanvallers kwamen binnen met een inloggegeven dat het bedrijf in 2022 aan een derde partij gaf voor een beperkte pilot en daarna nooit introk, bijna vier jaar lang. Via die vergeten credential konden de aanvallers OAuth-tokens uit Klue's systemen bemachtigen, de sleutels waarmee ze vervolgens klantdata uit cloudopslag en databases downloadden. Klue wil niet zeggen waar de pilot over ging, wie de derde partij was of om wat voor soort credential het ging, en houdt het op een lopend, uitgebreid onderzoek. LastPass bevestigde aan klanten dat via zijn Salesforce-omgeving namen, telefoonnummers, e-mailadressen, adressen, supportzaken en verkoopdata zijn buitgemaakt, terwijl de wachtwoordkluizen onaangetast blijven; naast LastPass werden ook andere securitybedrijven getroffen. De les voor elk bedrijf is pijnlijk concreet: een toegangssleutel die je ooit voor een proef uitdeelde en vergat in te trekken, is jaren later nog een open deur, dus inventariseer en verloop oude API-tokens, OAuth-koppelingen en proefaccounts actief.
Wachtwoordmanager LastPass meldt dat persoonlijke gegevens van klanten zijn gelekt, niet door een inbraak in zijn eigen systemen, maar via een leverancier. Aanvallers braken in bij Klue, een platform voor sales- en concurrentie-intelligentie dat LastPass had gekoppeld aan zijn Salesforce- en Gong-omgeving. Via die koppeling kregen ze toegang tot klantcontactdata in de CRM van LastPass. Het is een schoolvoorbeeld van een supply chain-aanval: niet jij wordt gehackt, maar een partij die jij vertrouwt.
Wat er precies gebeurde
De aanvallers kwamen binnen bij Klue via een oude inloggegeven die ooit was aangemaakt voor een inmiddels stopgezet integratieproject, aldus onderzoekers van Huntress. Vervolgens plaatsten ze code die OAuth-tokens oogstte van Klue-klanten. Met die tokens konden ze rechtstreeks de Salesforce-omgevingen van die klanten bevragen. Onderzoekers van ReliaQuest zagen dat de aanvaller geautomatiseerde, op Python gebaseerde tooling gebruikte om duizenden API-verzoeken af te vuren en zo op grote schaal CRM-data te oogsten.
De buit bij LastPass bestond uit namen, e-mailadressen, telefoonnummers, fysieke adressen, supportgegevens en sales-informatie. Belangrijk: de wachtwoordkluizen van klanten zijn niet geraakt. LastPass benadrukt dat het lek beperkt bleef tot systemen die aan Klue gekoppeld waren en "de producten, infrastructuur en wachtwoordkluizen van klanten" niet trof.
De tijdlijn en de afpersing
LastPass werd op 12 juni op de hoogte gebracht van de inbraak bij Klue. Op 22 juni dook gestolen data van meerdere slachtoffers op een leksite genaamd "Icarus" op, met tegelijkertijd afpersingsmails in omloop. De aanval wordt opgeëist door een nieuwe dreigingsgroep die zichzelf Icarus noemt, niet door ShinyHunters of andere groepen die eerder bij vergelijkbare aanvallen op het Salesforce-ecosysteem betrokken waren. LastPass heeft de toegang van medewerkers tot Klue ingetrokken, alle API-tokens vervangen en klanten gewaarschuwd alert te zijn op phishing. Het exacte aantal getroffen klanten maakte het bedrijf niet bekend.
Voor LastPass komt dit bovenop een groot datalek in 2023, waarvoor het in december 2025 een boete van 1,4 miljoen euro kreeg. Het patroon is anders dan toen, maar het effect op het vertrouwen stapelt op.
Wat dit voor jou betekent
Gebruik je LastPass om de wachtwoorden van je bedrijf te beheren? Dan is het goede nieuws dat je kluis veilig is. Het slechte nieuws: je naam, e-mailadres en mogelijk je telefoonnummer kunnen op straat liggen, en dat maakt je een gericht doelwit. Reken op overtuigend ogende phishingmails die net doen alsof ze van LastPass komen, juist omdat de afzenders je echte gegevens kennen. Klik nooit op een inloglink uit zo'n mail; ga altijd zelf naar de site. Dat phishing steeds lastiger met het blote oog te herkennen is, betekent dat je verdediging bij je proces moet beginnen en niet bij slimmere software.
De bredere les raakt iedereen, ongeacht welke wachtwoordmanager je gebruikt. Het zwakke punt zat niet in LastPass zelf, maar in een gekoppelde SaaS-tool met te ruime, te oude toegangsrechten. Elke OAuth-koppeling tussen je CRM en een externe dienst is een sleutel die iemand anders beheert. Loop daarom periodiek na welke integraties toegang hebben tot je Salesforce, HubSpot of boekhouding, trek koppelingen van afgeronde projecten in, en roteer tokens. Dat soort hygiëne is precies wat in een cybersecurity basischeck van vijf lagen die je zelf kunt nalopen thuishoort.
En voor wie nu twijfelt over de wachtwoordmanager zelf: de keuze tussen blijven of overstappen draait niet om dit ene incident, maar om hoe een aanbieder met zijn data omgaat, hoe transparant hij communiceert en of je grip houdt op waar je gegevens staan. Een lek bij een leverancier kan iedereen overkomen; wat telt, is hoe snel en eerlijk het wordt opgevolgd.
Veelgestelde vragen
Grip op je koppelingen
Vergeten integraties met te ruime rechten zijn een blinde vlek. Ik help je je koppelingen tussen CRM, boekhouding en SaaS in kaart te brengen, op te schonen en veilig te automatiseren, end-to-end en self-hosted waar dat kan, zodat jij eigenaar blijft van je data.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
