--- title: "LastPass, nuovo data breach: stavolta colpito un fornitore. Cosa rischiano gli utenti" description: "Il celebre gestore di password è di nuovo nei guai, ma in modo indiretto: a essere violata è stata Klue, una società terza usata per il supporto e il marketing. Esposti nomi, contatti e dati dei ticket di assistenza. Le password restano cifrate, dice LastPass, ma cresce il rischio di phishing mirato." category: "Scienza e tecnologia" category_url: https://ilcorrente.it/categoria/vetenskap author: "Elena Costa" published: 2026-06-24T08:38:19.000Z updated: 2026-06-24T08:38:19.000Z canonical: https://ilcorrente.it/articolo/lastpass-nuovo-data-breach-stavolta-colpito-un-fornitore-cosa-rischiano-gli-uten tags: ["LastPass", "data breach", "cybersicurezza", "phishing", "password manager"] --- # LastPass, nuovo data breach: stavolta colpito un fornitore. Cosa rischiano gli utenti Il celebre gestore di password è di nuovo nei guai, ma in modo indiretto: a essere violata è stata Klue, una società terza usata per il supporto e il marketing. Esposti nomi, contatti e dati dei ticket di assistenza. Le password restano cifrate, dice LastPass, ma cresce il rischio di phishing mirato. LastPass, uno dei gestori di password più diffusi al mondo, torna a fare i conti con una violazione di dati. Questa volta, però, l'attacco non ha colpito direttamente i server dell'azienda, ma un suo **fornitore terzo**: la società **Klue**, piattaforma di *market intelligence* usata dai team commerciali e di supporto clienti. ## Cosa è successo Si tratta di un classico attacco alla *catena di fornitura* (*supply chain*). Secondo [BleepingComputer](https://www.bleepingcomputer.com/news/security/lastpass-confirms-data-breach-in-klue-supply-chain-attack/), gli aggressori hanno violato i sistemi di Klue il **12 giugno 2026** ottenendo i token OAuth — le "chiavi" che collegano Klue agli ambienti Salesforce dei suoi clienti — e da lì hanno avuto accesso ai dati di numerose aziende, LastPass compresa. Klue non è una piattaforma di nicchia: come spiega [TechCrunch](https://techcrunch.com/2026/06/22/klue-hack-results-in-data-breach-at-several-cybersecurity-firms/), diverse società hanno confermato il furto di dati, tra cui nomi noti della cybersicurezza come Recorded Future, Tanium, Jamf e Gong. Il furto è stato rivendicato da un gruppo di estorsione chiamato **Icarus**, che ha minacciato di pubblicare i dati a partire dal 22 giugno in caso di mancato pagamento di un riscatto. ## Quali dati sono stati esposti Nel caso di LastPass i dati sottratti riguardano le informazioni di contatto e di relazione con i clienti presenti su Salesforce: **nomi, indirizzi email, numeri di telefono, indirizzi fisici e i dati dei ticket di assistenza**. Non si tratta quindi delle password. L'azienda ha tenuto a sottolineare che **i "vault", gli archivi cifrati che contengono le credenziali degli utenti, non sono stati toccati** e restano protetti: «i prodotti, i servizi e l'infrastruttura di LastPass non sono stati interessati dall'incidente», ha dichiarato secondo [BleepingComputer](https://www.bleepingcomputer.com/news/security/lastpass-confirms-data-breach-in-klue-supply-chain-attack/). LastPass ha revocato gli accessi al fornitore, ruotato i token esposti e allertato le autorità. ## Il precedente del 2022 La notizia pesa perché LastPass ha alle spalle violazioni ben più gravi. Nel 2022 l'azienda subì un attacco che portò al furto di copie di backup dei vault degli utenti: in quel caso i dati cifrati delle password finirono nelle mani degli aggressori, esponendo chi usava una master password debole. Quell'episodio ha minato a lungo la fiducia degli utenti, ed è il motivo per cui ogni nuovo incidente viene osservato con particolare attenzione. ## I rischi concreti Anche se le password restano al sicuro, i dati rubati non sono innocui. Sapere che una persona è cliente LastPass, conoscerne nome, email e magari il contenuto di una richiesta di assistenza, è materiale prezioso per attacchi di **phishing mirato** e **social engineering**. Un truffatore potrebbe inviare un'email o telefonare fingendosi l'assistenza LastPass, citando dettagli reali del vostro ticket per risultare credibile e convincervi a consegnare la master password o un codice. ## Cosa fare: i consigli pratici - **Diffidate di email, SMS e telefonate** che si spacciano per LastPass, specie se citano una vostra richiesta di supporto o chiedono con urgenza credenziali o codici. LastPass non chiede mai la master password. - **Non cliccate sui link** nei messaggi sospetti: digitate a mano l'indirizzo del sito o usate l'app ufficiale. - **Attivate l'autenticazione a due fattori (2FA)**: è la barriera più efficace anche se le credenziali venissero rubate. - **Cambiate la master password** se avete dubbi, scegliendone una lunga, unica e mai riutilizzata altrove. - Controllate gli accessi recenti al vostro account e segnalate ogni attività anomala. Niente panico, dunque, ma attenzione alta: in casi come questo il pericolo non è tecnico, ma psicologico, e passa dalla fiducia che siamo disposti a concedere a chi finge di volerci aiutare. ## Fonti - [LastPass data breach Klue: dati rubati, cosa fare](https://www.hdblog.it/android/articoli/n662385/lastpass-data-breach-klue-dati-rubati-cosa-fare/) - [LastPass confirms data breach in Klue supply chain attack](https://www.bleepingcomputer.com/news/security/lastpass-confirms-data-breach-in-klue-supply-chain-attack/) - [Klue hack results in data breach at several cybersecurity firms](https://techcrunch.com/2026/06/22/klue-hack-results-in-data-breach-at-several-cybersecurity-firms/)