Een rood hangslot op een zwart computertoetsenbord
Nieuws23 juni · 12:275 min leestijd

LastPass lekt klantgegevens via supply chain-aanval op leverancier Klue

Aanvallers compromitteerden Klue, een tool die LastPass koppelde aan Salesforce, en stalen zo namen, e-mailadressen en adressen van klanten. De wachtwoordkluizen bleven veilig, maar de phishingkans neemt toe.

Update · 23 juni · 17:00

Klue erkent: vergeten inloggegeven uit pilot van 2022 was de toegangspoort

Klue heeft inmiddels de oorzaak bevestigd: de aanvallers kwamen binnen met een inloggegeven dat het bedrijf in 2022 aan een derde partij gaf voor een beperkte pilot en daarna nooit introk, bijna vier jaar lang. Via die vergeten credential konden de aanvallers OAuth-tokens uit Klue's systemen bemachtigen, de sleutels waarmee ze vervolgens klantdata uit cloudopslag en databases downloadden. Klue wil niet zeggen waar de pilot over ging, wie de derde partij was of om wat voor soort credential het ging, en houdt het op een lopend, uitgebreid onderzoek. LastPass bevestigde aan klanten dat via zijn Salesforce-omgeving namen, telefoonnummers, e-mailadressen, adressen, supportzaken en verkoopdata zijn buitgemaakt, terwijl de wachtwoordkluizen onaangetast blijven; naast LastPass werden ook andere securitybedrijven getroffen. De les voor elk bedrijf is pijnlijk concreet: een toegangssleutel die je ooit voor een proef uitdeelde en vergat in te trekken, is jaren later nog een open deur, dus inventariseer en verloop oude API-tokens, OAuth-koppelingen en proefaccounts actief.

Wachtwoordmanager LastPass meldt dat persoonlijke gegevens van klanten zijn gelekt, niet door een inbraak in zijn eigen systemen, maar via een leverancier. Aanvallers braken in bij Klue, een platform voor sales- en concurrentie-intelligentie dat LastPass had gekoppeld aan zijn Salesforce- en Gong-omgeving. Via die koppeling kregen ze toegang tot klantcontactdata in de CRM van LastPass. Het is een schoolvoorbeeld van een supply chain-aanval: niet jij wordt gehackt, maar een partij die jij vertrouwt.

Wat er precies gebeurde

De aanvallers kwamen binnen bij Klue via een oude inloggegeven die ooit was aangemaakt voor een inmiddels stopgezet integratieproject, aldus onderzoekers van Huntress. Vervolgens plaatsten ze code die OAuth-tokens oogstte van Klue-klanten. Met die tokens konden ze rechtstreeks de Salesforce-omgevingen van die klanten bevragen. Onderzoekers van ReliaQuest zagen dat de aanvaller geautomatiseerde, op Python gebaseerde tooling gebruikte om duizenden API-verzoeken af te vuren en zo op grote schaal CRM-data te oogsten.

De buit bij LastPass bestond uit namen, e-mailadressen, telefoonnummers, fysieke adressen, supportgegevens en sales-informatie. Belangrijk: de wachtwoordkluizen van klanten zijn niet geraakt. LastPass benadrukt dat het lek beperkt bleef tot systemen die aan Klue gekoppeld waren en "de producten, infrastructuur en wachtwoordkluizen van klanten" niet trof.

De tijdlijn en de afpersing

LastPass werd op 12 juni op de hoogte gebracht van de inbraak bij Klue. Op 22 juni dook gestolen data van meerdere slachtoffers op een leksite genaamd "Icarus" op, met tegelijkertijd afpersingsmails in omloop. De aanval wordt opgeëist door een nieuwe dreigingsgroep die zichzelf Icarus noemt, niet door ShinyHunters of andere groepen die eerder bij vergelijkbare aanvallen op het Salesforce-ecosysteem betrokken waren. LastPass heeft de toegang van medewerkers tot Klue ingetrokken, alle API-tokens vervangen en klanten gewaarschuwd alert te zijn op phishing. Het exacte aantal getroffen klanten maakte het bedrijf niet bekend.

Voor LastPass komt dit bovenop een groot datalek in 2023, waarvoor het in december 2025 een boete van 1,4 miljoen euro kreeg. Het patroon is anders dan toen, maar het effect op het vertrouwen stapelt op.

Wat dit voor jou betekent

Gebruik je LastPass om de wachtwoorden van je bedrijf te beheren? Dan is het goede nieuws dat je kluis veilig is. Het slechte nieuws: je naam, e-mailadres en mogelijk je telefoonnummer kunnen op straat liggen, en dat maakt je een gericht doelwit. Reken op overtuigend ogende phishingmails die net doen alsof ze van LastPass komen, juist omdat de afzenders je echte gegevens kennen. Klik nooit op een inloglink uit zo'n mail; ga altijd zelf naar de site. Dat phishing steeds lastiger met het blote oog te herkennen is, betekent dat je verdediging bij je proces moet beginnen en niet bij slimmere software.

De bredere les raakt iedereen, ongeacht welke wachtwoordmanager je gebruikt. Het zwakke punt zat niet in LastPass zelf, maar in een gekoppelde SaaS-tool met te ruime, te oude toegangsrechten. Elke OAuth-koppeling tussen je CRM en een externe dienst is een sleutel die iemand anders beheert. Loop daarom periodiek na welke integraties toegang hebben tot je Salesforce, HubSpot of boekhouding, trek koppelingen van afgeronde projecten in, en roteer tokens. Dat soort hygiëne is precies wat in een cybersecurity basischeck van vijf lagen die je zelf kunt nalopen thuishoort.

En voor wie nu twijfelt over de wachtwoordmanager zelf: de keuze tussen blijven of overstappen draait niet om dit ene incident, maar om hoe een aanbieder met zijn data omgaat, hoe transparant hij communiceert en of je grip houdt op waar je gegevens staan. Een lek bij een leverancier kan iedereen overkomen; wat telt, is hoe snel en eerlijk het wordt opgevolgd.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je koppelingen

Vergeten integraties met te ruime rechten zijn een blinde vlek. Ik help je je koppelingen tussen CRM, boekhouding en SaaS in kaart te brengen, op te schonen en veilig te automatiseren, end-to-end en self-hosted waar dat kan, zodat jij eigenaar blijft van je data.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Tweede hackersgroep eist losgeld na Klue-datalek: double extortion treft LastPass-klanten
Nieuws
5 min

25 jun 20:45

Tweede hackersgroep eist losgeld na Klue-datalek: double extortion treft LastPass-klanten

Bij het Klue-datalek beloven de oorspronkelijke hackers de buit te wissen, maar een tweede groep eist nu losgeld van klanten als LastPass. Deze double extortion verandert de risicoberekening voor elk getroffen bedrijf.

Welk CRM past bij jouw MKB: HubSpot, Pipedrive of Salesforce?
Gids
Uitgebreide gids11 min

6 jul 21:01

Welk CRM past bij jouw MKB: HubSpot, Pipedrive of Salesforce?

Kies het CRM dat bij je teamgrootte, salesproces en budget past. Een eerlijke vergelijking van HubSpot, Pipedrive en Salesforce, met prijzen, een beslis-kader en wanneer een lichter alternatief nog volstaat.

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt
Nieuws
6 min

30 jun 00:47

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt

Nissan meldt een datalek nadat aanvallers een kritiek lek in Oracle PeopleSoft misbruikten. De afpersgroep ShinyHunters trof zo'n 300 systemen bij meer dan honderd organisaties. Nederlandse bedrijven met PeopleSoft moeten direct patchen.

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing
Nieuws
5 min

9 jul 20:22

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing

Een nieuwe afpersgroep, Helix, breekt in bij Microsoft 365 met valse telefoontjes en device-code phishing en trekt hele SharePoint-bibliotheken leeg. ReliaQuest ziet een bekend patroon. Dit betekent het voor je beveiliging.

Koude acquisitie na de opt-in wet van 2026: zo leg je toestemming aantoonbaar vast in je CRM
Gids
Uitgebreide gids10 min

8 jul 13:03

Koude acquisitie na de opt-in wet van 2026: zo leg je toestemming aantoonbaar vast in je CRM

Sinds 1 juli 2026 vervalt de klantrelatie als reden om te bellen: je hebt vooraf aantoonbare toestemming nodig. Een stappenplan om opt-in vast te leggen in je CRM, je koude lijst te filteren en je acquisitie om te bouwen.

Eerst centraliseren, dan pas AI: waarom een bot op een versnipperde inbox de chaos versnelt
Inzicht
6 min

6 jul 13:04

Eerst centraliseren, dan pas AI: waarom een bot op een versnipperde inbox de chaos versnelt

Een AI-bot op drie losse inboxen maakt je klantenservice niet slimmer, alleen sneller in het geven van drie verschillende antwoorden. Waarom architectuur vóór intelligentie komt.