LastPass再曝数据泄露：Klue供应链遭Icarus渗透，OAuth令牌成突破口

原创于 2026-06-24 19:28:09 发布 · 16 阅读

本内容遵循CC 4.0 BY-SA版权协议

标签

#人工智能 #安全 #网络

2026年6月，密码管理领域的老牌厂商LastPass正式对外确认，一起由第三方供应商引发的安全事件导致其客户联系信息外泄。这起事件并非直接针对LastPass核心系统的入侵，而是典型的供应链攻击——攻击者先拿下市场情报平台Klue，再借助窃取的OAuth令牌长驱直入，最终触及LastPass部署在Salesforce上的业务数据。

LastPass confirms data breach in Klue supply chain attack

从Klue到Salesforce：一条被忽视的信任链

Klue本身是一家提供竞争情报与市场洞察服务的SaaS平台，日常需要与Salesforce、Gong等主流企业应用做深度集成。这种集成依赖OAuth令牌完成身份认证，用户一旦授权，Klue就能以"受信任应用"的身份持续访问目标系统。问题在于，这种便利性背后藏着巨大的单点风险。

一个自称Icarus的勒索组织正是瞄准了这一点。他们成功渗透Klue的后端基础设施，批量窃取了存储其中的OAuth凭证。这些令牌在攻击者手中成了"万能钥匙"——无需破解密码、无需突破多重认证，直接以合法集成的名义登录LastPass的Salesforce实例。ReliaQuest的研究团队事后追溯发现，这波攻击与近期大规模Salesforce数据窃取行动存在明显关联，手法高度一致。

Klue confirms breach – Icarus behind attacks on Salesforce customers - IT Industry

到底哪些信息流了出去？

LastPass在公告中明确划定了影响边界：泄露内容集中在CRM客户关系管理记录，涵盖客户姓名、电子邮件、电话号码以及实际住址。此外，部分技术支持工单和销售跟进记录也被攻击者取走。值得强调的是，用户存储在LastPass密码保险库中的主密码、加密密钥以及网站登录凭证均未受到影响，保险库本身的端到端加密架构在这次事件中经受住了考验。

不过，即便核心密码数据安全无虞，联系方式的泄露依然不可小觑。对于攻击者而言，一份精准的姓名+电话+邮箱组合，足以支撑后续高度定制化的钓鱼攻击或社交工程渗透。

Password managers are under threat in 2025. What the LastPass breach taught us. | Mashable

受害者名单比想象中更长

LastPass绝非唯一被卷入这场风波的企业。Klue作为中间枢纽，其OAuth令牌的失窃意味着所有依赖该集成的客户都暴露在风险之下。目前已知受到波及的公司还包括Recorded Future、Tanium、Jamf以及Sprout Social等知名科技企业。尽管LastPass没有公开具体受影响的用户数量，但从波及面来看，这次事件的影响范围已经远超单一企业层面，更像是一场针对Salesforce生态集成链的系统性狩猎。

Detecting the Klue supply chain attack in Salesforce instances | Datadog Security Labs