La notizia in sintesi
- LastPass segnala una violazione subita dal fornitore terzo Klue.
- Sono stati sottratti dati di contatto, supporto e informazioni commerciali.
- I vault delle password e l’infrastruttura LastPass non risultano compromessi.
- Il gruppo Icarus rivendica l’attacco e minaccia la diffusione dei dati.
Riassunto generato con AI
LastPass avverte gli utenti dopo il breach di Klue
LastPass ha comunicato che Klue, società terza di marketing integrata nei suoi sistemi di supporto, è stata violata l’11 giugno 2026, con conseguenze per dati personali e commerciali di alcuni utenti. L’incidente riguarda informazioni custodite dal fornitore esterno, non i sistemi centrali del gestore di password, ma riporta l’attenzione sulla sicurezza della filiera dei servizi digitali. LastPass afferma che i vault contenenti le password, i prodotti e la propria infrastruttura non sono stati compromessi, invitando tuttavia gli utenti a vigilare contro phishing e social engineering.
Dati esposti e precedenti che pesano sulla reputazione
Secondo il comunicato di LastPass, i dati sottratti a Klue comprendono nomi, numeri di telefono, indirizzi email e fisici, informazioni relative ai casi di assistenza e dati commerciali. La natura delle informazioni esfiltrate può rendere più credibili messaggi fraudolenti mirati, perché consente agli aggressori di usare dettagli personali o riferimenti al supporto clienti. La responsabilità dell’operazione è stata rivendicata dal gruppo Icarus, che avrebbe già contattato alcuni utenti minacciando di pubblicare i dati.
Il nuovo episodio arriva dopo le violazioni subite da LastPass nel 2022, che portarono alla compromissione di vault cifrati appartenenti a milioni di utenti. Le analisi dell’investigatore on-chain ZachXBT hanno collegato alle credenziali sottratte perdite per decine di milioni di dollari a danno di oltre sessanta vittime identificate. Tra i casi citati figura il co-fondatore di Ripple, Chris Larsen, che secondo le ricostruzioni avrebbe perso 150 milioni di dollari in criptovalute dopo l’esfiltrazione delle sue chiavi private tramite LastPass.
Il rischio immediato riguarda frodi e furti d’identità
Nel dicembre 2025, l’ICO britannica ha inflitto a LastPass una multa di 1,2 milioni di sterline per il breach del 2022. L’autorità ha ritenuto insufficienti le misure tecniche applicate al database di backup, esposto con dati di 1,6 milioni di utenti del Regno Unito. Nel caso Klue, l’assenza di una compromissione dichiarata dei vault non elimina il rischio più vicino: tentativi di manipolazione degli utenti basati sui dati già sottratti.
FAQ
Quando è stata violata Klue?
Sì, LastPass indica l’11 giugno 2026 come data della violazione subita da Klue, il proprio fornitore terzo di marketing e supporto.
Quali dati degli utenti sono stati sottratti?
Sì, risultano esposti nomi, telefoni, email, indirizzi fisici, dati dei casi di supporto e informazioni commerciali, secondo il comunicato ufficiale di LastPass.
I vault delle password LastPass sono compromessi?
No, LastPass afferma che i vault delle password restano intatti e che prodotti e infrastruttura aziendale non sono stati compromessi nell’incidente Klue.
Chi ha rivendicato l’attacco a Klue?
Sì, il gruppo Icarus ha rivendicato la responsabilità dell’attacco e avrebbe contattato alcuni utenti, minacciando di rendere pubblici i dati sottratti.
Come è stato verificato questo contenuto?
Sì, il contenuto nasce da un’analisi approfondita e da una verifica incrociata condotta dalla nostra Redazione su numerose fonti, tra cui Atlas21.




