/https://www.ilsoftware.it/app/uploads/2023/09/Progetto-senza-titolo-49.png "Un token dimenticato dal 2022 scatena un nuovo incidente per LastPass")
LastPass torna al centro dell’attenzione per un nuovo incidente di sicurezza, ma questa volta l’origine del problema non risiede nella sua infrastruttura.
L’azienda ha confermato che alcuni dati dei clienti sono stati esposti a causa di un attacco alla supply chain che ha colpito Klue, piattaforma di market intelligence utilizzata da numerose imprese. L’episodio arriva a quasi quattro anni dalla grave violazione del 2022 e riaccende il dibattito sui rischi delle integrazioni SaaS e sulla gestione dei token OAuth.
Come gli attaccanti hanno violato Klue e i suoi clienti
Gli aggressori hanno ottenuto accesso ai sistemi di Klue sfruttando una credenziale legacy associata a un servizio di integrazione risalente a un progetto pilota del 2022, mai revocata.
Da quel punto hanno raccolto i token OAuth utilizzati dalle integrazioni con piattaforme esterne come Salesforce, Google Drive, Slack e Zoom, sfruttandoli per accedere ai dati conservati negli ambienti cloud dei clienti. LastPass utilizzava Klue per attività commerciali e di analisi di mercato: l’applicazione era collegata ai sistemi Salesforce tramite token OAuth, meccanismo che permette a un servizio esterno di operare senza richiedere credenziali dirette. Sottratti quei token, gli aggressori si sono autenticati verso l’ambiente Salesforce di LastPass con privilegi già autorizzati. L’azienda ha precisato che i sistemi interni, l’infrastruttura cloud e i vault degli utenti sono rimasti isolati dall’incidente.
Quali dati sono stati esposti e quali rischi restano
Le informazioni sottratte comprendono dati di contatto aziendali presenti nei sistemi CRM: nomi, indirizzi email, numeri telefonici, dati commerciali e contenuti collegati ai ticket di assistenza.
Proprio questi ultimi meritano attenzione particolare, perché possono contenere dettagli tecnici, riferimenti a problemi di accesso e frammenti di dati personali condivisi dagli utenti durante le richieste di supporto. Sebbene i vault delle password non siano stati esposti, il materiale presente nei ticket potrebbe facilitare campagne di phishing altamente mirate. LastPass non ha ancora comunicato il numero esatto delle persone coinvolte.
Supply chain e token OAuth: la lezione per il settore
Dopo la notifica dell’incidente, LastPass ha revocato l’accesso a Klue, ruotato i token compromessi e avviato un’indagine interna insieme ai team di Salesforce e della stessa Klue.
L’episodio conferma una tendenza sempre più evidente nel panorama della cybersecurity del 2026: compromettere un singolo fornitore intermediario può garantire accesso simultaneo a decine di organizzazioni, aumentando enormemente il rendimento dell’operazione criminale. Il nodo tecnico centrale è l’abuso dei token OAuth, credenziali digitali che autorizzano applicazioni terze a operare per conto di un’organizzazione: se sottratti, consentono di aggirare autenticazione tradizionale e controlli MFA senza toccare direttamente i sistemi bersaglio.
Per ridurre il rischio, le aziende stanno adottando controlli più rigorosi sulle integrazioni SaaS e limitando i privilegi concessi ai servizi esterni.
/https://www.ilsoftware.it/app/uploads/2026/06/vulnerabilita-ffmpeg-jellyfin.jpg "FFmpeg, scoperta la falla PixelSmash: rischio attacchi su Jellyfin, Kodi e Nextcloud")
/https://www.ilsoftware.it/app/uploads/2026/06/squidbleed-vulnerabilita-squid-proxy.jpg "Squidbleed: falla di sicurezza rimasta nascosta in Squid Proxy per quasi 30 anni")
/https://www.ilsoftware.it/app/uploads/2026/06/libssh2-vulnerabilita-critiche.jpg "Vulnerabilità critica in libssh2: milioni di dispositivi a rischio esecuzione di codice remoto")
/https://www.ilsoftware.it/app/uploads/2026/06/bug-cestino-windows-11-nomi-file-strani.jpg "Windows 11 mostra nomi misteriosi nel Cestino dopo gli update di giugno 2026")