Инцидент в цепочке поставок Klue затронул LastPass: возможна утечка данных CRM (номера телефонов, адреса)
Инцидент в цепочке поставок Klue затронул LastPass: возможна утечка данных CRM (номера телефонов, адреса)
Недавняя утечка данных у стороннего поставщика вновь привлекла внимание к контактной информации клиентов и данным поддержки, на этот раз с участием LastPass и поставщика услуг под названием Klue. Хотя доступ к хранилищам паролей не был получен, инцидент по-прежнему важен для пользователей криптовалют, поскольку данные CRM — это именно то, что нужно злоумышленникам для проведения высококонверсионных фишинговых кампаний, атак с подменой SIM-карты и кампаний по выдаче себя за другое лицо.
Ниже мы расскажем, что произошло, почему это важно для безопасности блокчейна и что вы можете сделать прямо сейчас, чтобы снизить риски.
Что произошло (и что не произошло)
LastPass сообщил об инциденте безопасности, затронувшем Klue, платформу рыночной аналитики, используемую командами LastPass для выхода на рынок. Основная проблема: злоумышленники получили OAuth-токены, которые Klue хранил для нескольких клиентов, и затем использовали эти токены для доступа к данным в подключенных средах Salesforce, включая CRM-систему LastPass. Это описание получило широкое освещение и согласуется с информацией из различных источников, специализирующихся на безопасности, в том числе в публикации на bleepingcomputer.com и в статье на techcrunch.com.
Потенциально раскрытая информация включает в себя стандартные данные CRM и клиентской поддержки, такие как:
- Имена
- Номера телефонов
- Адреса электронной почты
- Физические/домашние адреса
- Детали обращений в службу поддержки
- Данные CRM, связанные с продажами / учетными записями
Этот объем информации также обобщен в статьях на cyberinsider.com и hackread.com.
Что, по утверждению LastPass, не было затронуто:
- Продукты и инфраструктура LastPass
- Хранилища паролей клиентов (содержимое хранилищ не было раскрыто в результате данного инцидента)
- Отсутствие свидетельств доступа злоумышленников к данным, связанным с Gong, согласно расследованию компании, на которое ссылается bleepingcomputer.com
LastPass также описал немедленные меры по сдерживанию и последующие действия: прекращение доступа сотрудников к Klue, ротация скомпрометированных токенов, координация с партнерами и правоохранительными органами, а также обмен информацией об угрозах через свою команду TIME, о чем сообщали techcrunch.com и cyberinsider.com.
Почему пользователям криптовалют стоит беспокоиться, даже если «хранилища в безопасности»
В мире криптовалют самые дорогостоящие взломы часто начинаются без прямого доступа к приватным ключам. Злоумышленники сначала собирают контекст — вашу электронную почту, номер телефона, адрес, место работы, сведения о транзакциях и обращения в службу поддержки, — а затем используют его для социальной инженерии.
Данные CRM особенно опасны, поскольку они позволяют реализовать:
1) Фишинг с высоким уровнем доверия и «выдача себя за службу поддержки»
Если злоумышленник знает, что вы ранее обращались в службу поддержки, он может создать сообщение, выглядящее легитимным («продолжение работы по заявке №…», «требуется проверка учетной записи»). Такой предлог значительно увеличивает вероятность перехода по ссылке и соблюдения инструкций.
Общие шаблоны фишинга и рекомендации по защите см. в рекомендациях CISA по фишингу.
2) Попытки подмены SIM-карты и захвата учетных записей
Номера телефонов и адреса могут использоваться для выдачи себя за сотрудников операторов связи, для построения сценариев «потерянный телефон» или для целенаправленных преследований — особенно в сочетании с утечками маркетинговых данных или полей CRM (название компании, должность, регион). Если ваша учетная запись биржи или электронная почта использует SMS для восстановления, вы подвергаетесь риску.
3) Целенаправленное вымогательство и запугивание с использованием «домашнего адреса»
Владельцы криптовалют особенно уязвимы для мошеннических схем давления. Домашний адрес может превратить обычную попытку фишинга в угрожающую кампанию, вынуждающую жертв к поспешным действиям.
4) Более убедительное мошенничество в блокчейне
Злоумышленники могут использовать личные данные, чтобы подтолкнуть жертв к:
- Подписанию вредоносных транзакций,
- Переходу на сайты «верификации кошелька»,
- Использованию поддельных порталов для соблюдения требований / KYC,
- Или к процессам «восстановления» сид-фразы.
Для всего этого не требуется доступ к хранилищу паролей — только правдоподобная история.
Более широкая тенденция: интеграции SaaS и злоупотребление OAuth-токенами
Данный инцидент — классический пример современного риска в цепочке поставок: внешний инструмент с делегированным доступом становится точкой входа. OAuth-токены предназначены для того, чтобы приложения могли получать доступ к системам без постоянных запросов учетных данных; это удобство может стать уязвимостью при краже токенов.
Для команд, работающих в Web3 — бирж, NFT-платформ, DAO, поставщиков инфраструктуры — это важно, поскольку бизнес-инструменты (CRM, службы поддержки, аналитика) часто находятся рядом с высокоценными рабочими процессами, такими как онбординг пользователей, коммуникации KYC и восстановление учетных записей.
Даже если ваша защита от ончейн-краж сильна, ваш периметр идентификации вне сети (off-chain) может быть слабым.
Практические шаги для пользователей: снижение рисков от «утечек контактных данных»
Если вы могли быть затронуты — или просто хотите укрепить свою личную систему безопасности — уделите первоочередное внимание следующему:
1) Всегда относитесь к входящим сообщениям как к потенциально враждебным
Проявляйте подозрительность к:
- Уведомлениям «учетная запись помечена»,
- Срочным проверкам безопасности,
- Запросам на сброс пароля, которые вы не инициировали,
- Запросам на «подтверждение» сид-фраз, приватных ключей или мастер-паролей.
В сомнительных случаях не отвечайте. Обращайтесь к сервису через закладку или вручную введенный URL и открывайте новый запрос в службу поддержки.
2) По возможности откажитесь от восстановления доступа через SMS
Если такая возможность поддерживается, отдавайте предпочтение более надежным методам аутентификации, таким как приложения-аутентификаторы или аппаратные ключи. Руководство NIST по цифровой идентификации объясняет, почему SMS является более слабым каналом восстановления во многих моделях угроз (nist.gov SP 800-63B).
3) Разделяйте идентификационные данные: псевдонимы электронной почты + отдельный почтовый ящик для финансов/криптовалют
Выделенный адрес электронной почты (никогда не публикуемый публично) снижает вероятность корреляции данных и целенаправленного фишинга. Если вам необходимо использовать основной адрес, рассмотрите правила псевдонимизации и строгие фильтры.
4) Введите ограничения на вывод средств и доступ к API на биржах
Если вы пользуетесь централизованными сервисами:
- Включите белые списки адресов для вывода средств (если доступно),
- Отключите API-ключи, которые вам не нужны,
- Регулярно проверяйте историю входов.
5) Предполагайте, что содержимое обращений в службу поддержки может быть конфиденциальным
Обращения в службу поддержки часто содержат скриншоты, частичные идентификаторы, счета или детали устройства. В будущем минимизируйте то, чем вы делитесь в обращениях:
- Затирайте личные данные,
- Никогда не вставляйте сид-фразы,
- Избегайте предоставления полной истории транзакций, если это не является необходимым.
Что это значит для самостоятельного хранения (self-custody): держите ключи вне интернета
Инциденты, подобные этому, подтверждают основной принцип: самый безопасный приватный ключ — это тот, который никогда не попадает в среду, подключенную к интернету.
Аппаратный кошелек помогает изолировать подписание транзакций от вашего повседневного устройства, поэтому даже если вы подвергнетесь убедительному фишингу, у вас будет дополнительный контрольный пункт: вам придется физически подтвердить транзакцию.
Если вы рассматриваете возможность внедрения более надежных практик самостоятельного хранения, подход OneKey — изоляция ключей в офлайн-режиме, подтверждение транзакций на устройстве и экосистема, разработанная для проверяемого подписания — естественным образом вписывается в модель защиты, где утечки контактных данных являются ожидаемыми, а социальная инженерия — основной угрозой.
Итог
Данный инцидент, связанный с Klue, не затронул содержимое хранилищ LastPass, но он мог привести к утечке наиболее «пригодных для использования» компонентов для мошенничества с криптовалютами: номеров телефонов, электронной почты, адресов и контекста поддержки. В 2025-2026 годах злоумышленники все чаще побеждают за счет убеждения, а не взлома шифрования.
Ваша лучшая защита многоуровневая:
- Укрепите периметр вашей идентификации,
- Не доверяйте входящим обращениям поддержки,
- И держите высокоценное подписание транзакций на устройстве, предназначенном для изоляции.
Для получения последних новостей и деталей инцидента, освещенных в прессе по вопросам безопасности, обращайтесь к techcrunch.com и bleepingcomputer.com.
