LastPass-Angriff, Icarus

LastPass-Angriff: Icarus erbeutet Kundendaten über Klue

23.06.2026 - 21:56:20 | boerse-global.de

Cyberkriminelle nutzen Schwachstelle beim Dienstleister Klue aus. Persönliche Daten von LastPass-Nutzern sind kompromittiert, die Passwort-Tresore bleiben verschont.

LastPass Sicherheitsvorfall: Angreifer erbeuten Kundendaten über Drittanbieter
LastPass-Angriff - A person in a hoodie typing on a laptop, with lines of code and digital locks projected onto the screen, symbolizing a data breach. 23.06.2026 - Bild: über boerse-global.de

Sicherheitsvorfall bei LastPass: Unbefugte haben auf Kundendaten zugegriffen. Der Angriff erfolgte über einen Drittanbieter.

Der Passwort-Manager-Dienst LastPass ist erneut Ziel eines Cyberangriffs geworden. Wie das Unternehmen am heutigen Dienstag mitteilte, verschafften sich Angreifer über eine Schwachstelle beim Dienstleister Klue Zugriff auf Kundendaten in der Salesforce-Umgebung von LastPass. Die Attacke nutzte ein altes, nie deaktiviertes Zugangsprotokoll aus.

Anzeige

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. Anti-Phishing-Paket jetzt kostenlos herunterladen

Supply-Chain-Angriff über OAuth-Tokens

Die Sicherheitslücke entstand, als Angreifer den Dienstleister Klue kompromittierten. Dort erbeuteten sie sogenannte OAuth-Tokens, die für die Integration mit Salesforce verwendet wurden. Ermittlungen der Cybersicherheitsfirmen Huntress und ReliaQuest ergaben: Einstiegspunkt war ein veralteter Zugangsschlüssel für eine Prototyp-Integration, der nie deaktiviert worden war.

Die Erpressergruppe Icarus, die die Verantwortung für den Angriff übernahm, nutzte eigenen Angaben zufolge Python-basierte Werkzeuge, um die Tokens zu sammeln und Daten über die Salesforce-REST-Schnittstelle abzuziehen. Klue-CEO Jason Smith bestätigte, dass der Einbruch erstmals am 12. Juni 2026 entdeckt wurde. Einen Tag später kappte Klue die Verbindungen zu mehreren Plattformen – darunter Salesforce, HubSpot, Slack und Google Drive.

Welche Kundendaten betroffen sind

Die gestohlenen Daten umfassen sensible Kontakt- und Geschäftsinformationen – nicht jedoch die zentralen Passwort-Speicher. Nach Angaben von LastPass wurden folgende Details abgegriffen:

  • Vollständige Namen und E-Mail-Adressen
  • Telefonnummern und physische Adressen
  • Support-Fallinformationen und Verkaufsaufzeichnungen

Das Unternehmen betont, dass die Kerninfrastruktur, die Dienste und die verschlüsselten Kundentresore nicht betroffen seien. Diese Unterscheidung ist für die rund 33 Millionen Nutzer und etwa 1,6 Millionen zahlenden Kunden entscheidend: In den Tresoren liegen die verschlüsselten Zugangsdaten und vertraulichen Notizen.

Die Icarus-Gruppe hat die Daten bereits am 22. Juni auf ihrer Leak-Seite veröffentlicht und droht mit einer öffentlichen Freigabe. LastPass warnt seine Kunden vor verstärkten Phishing-Versuchen, die die gestohlenen Kontaktdaten ausnutzen könnten.

Anzeige

Der Vorfall bei LastPass zeigt, wie schnell sensible Geschäftsdaten durch Sicherheitslücken bei Partnern gefährdet sind. Dieses Gratis-E-Book enthüllt, wie Sie solche Sicherheitslücken schließen und Ihre IT-Infrastruktur proaktiv vor Cyberangriffen schützen. Kostenloses E-Book zur Cyber-Security sichern

Weitreichende Folgen für die Branche

LastPass ist kein Einzelfall. Auch andere namhafte Unternehmen wurden durch den Klue-Vorfall getroffen. Betroffen sind unter anderem Recorded Future, Tanium, Jamf, Snyk und HackerOne – bei ihnen wurden CRM-Daten oder Support-Aufzeichnungen kompromittiert.

Snyk etwa gab am 23. Juni bekannt, dass der Schaden auf geschäftliche Kontaktfelder und Beschreibungen aus einem Teil der Support-Fälle begrenzt sei – nicht auf die vollständigen Kommunikationsinhalte. Das Ausmaß des Vorfalls hat in der Branche erneut Debatten über die Sicherheit von OAuth-Tokens und die Risiken von Drittanbieter-Integrationen entfacht.

Sofortmaßnahmen und Sicherheitsvorkehrungen

Nach der Entdeckung des unbefugten Zugriffs sperrte LastPass umgehend den Zugang von Klue zur eigenen Umgebung und rotierte alle kompromittierten OAuth-Tokens. Das Unternehmen arbeitet mit forensischen Ermittlern zusammen und hat die Strafverfolgungsbehörden eingeschaltet.

Sicherheitsforscher identifizierten mehrere Indikatoren für eine Kompromittierung – darunter die IP-Adressen 138.226.246.94 und 94.154.32.160 sowie die Domains baccarat.com.au und robinskitchen.com.au. Der Vorfall reiht sich ein in eine Serie von Sicherheitspannen bei LastPass: Bereits 2022 hatte ein Einbruch zu erheblichen Kryptowährungsdiebstählen geführt, die Branchenberichten zufolge mehr als 150 Millionen Euro Schaden verursachten.

de | wissenschaft | 69613616 |