文章总结： LastPass于2026年6月23日披露因第三方供应商Klue遭受供应链攻击，黑客利用被盗OAuth令牌入侵其Salesforce环境，导致客户支持与销售系统中的用户姓名、电话、邮箱、住址及CRM数据泄露。LastPass强调密码保险库与核心服务未受影响，已采取令牌轮换、访问停用及联合调查等措施。 综合评分： 72 文章分类： 数据泄露,供应链安全,安全事件,漏洞预警,云安全

密码管理工具LastPass披露：第三方供应链攻击导致部分用户信息泄露

安全学习那些事儿

2026年6月24日 15:00 陕西

在小说阅读器读本章

去阅读

2026年6月23日，据科技媒体AppleInsider发布博文，报道称LastPass再次披露一起安全事件，涉及第三方供应商Klue(竞品情报平台)的供应链攻击，导致部分用户数据泄露。

根据公告内容，本次事件源于第三方供应链攻击，黑客借助第三方供应商Klue被盗的OAuth Token，进入LastPass的Salesforce环境，接触到客户支持和销售系统中的部分数据。

在受影响信息方面，涵盖客户姓名、电话号码、电子邮件地址、实体住址、支持案例信息，以及销售相关的客户关系管理(CRM)数据。

LastPass强调本次事件中其产品、基础设施、服务、密码保险库和已存储凭证都未受到影响，仅影响集成 Klue 的系统。

LastPass已轮换受影响访问Token，停用员工对Klue的访问，启动调查，并通知执法部门。Klue则撤销受影响凭证与Token，移除未授权代码，并停用相关集成。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全学习那些事儿 《密码管理工具LastPass披露：第三方供应链攻击导致部分用户信息泄露》