LastPass, nuovo data breach: stavolta colpito un fornitore. Cosa rischiano gli utenti

LastPass, uno dei gestori di password più diffusi al mondo, torna a fare i conti con una violazione di dati. Questa volta, però, l'attacco non ha colpito direttamente i server dell'azienda, ma un suo fornitore terzo: la società Klue, piattaforma di market intelligence usata dai team commerciali e di supporto clienti.

Cosa è successo

Si tratta di un classico attacco alla catena di fornitura (supply chain). Secondo BleepingComputer, gli aggressori hanno violato i sistemi di Klue il 12 giugno 2026 ottenendo i token OAuth — le "chiavi" che collegano Klue agli ambienti Salesforce dei suoi clienti — e da lì hanno avuto accesso ai dati di numerose aziende, LastPass compresa.

Klue non è una piattaforma di nicchia: come spiega TechCrunch, diverse società hanno confermato il furto di dati, tra cui nomi noti della cybersicurezza come Recorded Future, Tanium, Jamf e Gong. Il furto è stato rivendicato da un gruppo di estorsione chiamato Icarus, che ha minacciato di pubblicare i dati a partire dal 22 giugno in caso di mancato pagamento di un riscatto.

Quali dati sono stati esposti

Nel caso di LastPass i dati sottratti riguardano le informazioni di contatto e di relazione con i clienti presenti su Salesforce: nomi, indirizzi email, numeri di telefono, indirizzi fisici e i dati dei ticket di assistenza. Non si tratta quindi delle password.

L'azienda ha tenuto a sottolineare che i "vault", gli archivi cifrati che contengono le credenziali degli utenti, non sono stati toccati e restano protetti: «i prodotti, i servizi e l'infrastruttura di LastPass non sono stati interessati dall'incidente», ha dichiarato secondo BleepingComputer. LastPass ha revocato gli accessi al fornitore, ruotato i token esposti e allertato le autorità.

Il precedente del 2022

La notizia pesa perché LastPass ha alle spalle violazioni ben più gravi. Nel 2022 l'azienda subì un attacco che portò al furto di copie di backup dei vault degli utenti: in quel caso i dati cifrati delle password finirono nelle mani degli aggressori, esponendo chi usava una master password debole. Quell'episodio ha minato a lungo la fiducia degli utenti, ed è il motivo per cui ogni nuovo incidente viene osservato con particolare attenzione.

I rischi concreti

Anche se le password restano al sicuro, i dati rubati non sono innocui. Sapere che una persona è cliente LastPass, conoscerne nome, email e magari il contenuto di una richiesta di assistenza, è materiale prezioso per attacchi di phishing mirato e social engineering. Un truffatore potrebbe inviare un'email o telefonare fingendosi l'assistenza LastPass, citando dettagli reali del vostro ticket per risultare credibile e convincervi a consegnare la master password o un codice.

Cosa fare: i consigli pratici

• Diffidate di email, SMS e telefonate che si spacciano per LastPass, specie se citano una vostra richiesta di supporto o chiedono con urgenza credenziali o codici. LastPass non chiede mai la master password.
• Non cliccate sui link nei messaggi sospetti: digitate a mano l'indirizzo del sito o usate l'app ufficiale.
• Attivate l'autenticazione a due fattori (2FA): è la barriera più efficace anche se le credenziali venissero rubate.
• Cambiate la master password se avete dubbi, scegliendone una lunga, unica e mai riutilizzata altrove.
• Controllate gli accessi recenti al vostro account e segnalate ogni attività anomala.

Niente panico, dunque, ma attenzione alta: in casi come questo il pericolo non è tecnico, ma psicologico, e passa dalla fiducia che siamo disposti a concedere a chi finge di volerci aiutare.