A fine giugno 2026, LastPass ha confermato una nuova violazione dei dati - ma il titolo richiede subito una precisazione onesta: non è un'altra violazione dei caveau. Gli aggressori hanno raggiunto dati di supporto e di contatto conservati nell'ambiente Salesforce di LastPass, mentre LastPass ha dichiarato che i suoi prodotti, servizi e infrastrutture non sono stati colpiti e che i caveau delle password dei clienti sono rimasti sicuri. Ecco cosa è successo davvero, cosa significa e cosa fare.
Cosa è successo
LastPass ha confermato che gli aggressori hanno avuto accesso a dati di ticket di supporto conservati nel suo ambiente Salesforce. Le informazioni esposte includono nomi, numeri di telefono, indirizzi e-mail e indirizzi fisici dei clienti, dati dei ticket di supporto e record relativi alle vendite.
Il punto cruciale, dichiarato dalla stessa LastPass: i suoi prodotti, servizi e infrastrutture non sono stati colpiti, e i caveau delle password dei clienti sono rimasti sicuri. In altre parole, questo incidente riguarda dati di supporto e di contatto del CRM, non il caveau cifrato dove vivono le tue credenziali salvate. È questa distinzione a separarlo dalla molto discussa violazione dei backup dei caveau del 2022, ed è bene tenerla a mente prima di reagire. Se stavi valutando la storia della piattaforma, la nostra analisi su se LastPass è sicuro inquadra il tutto.
Come è successo - un attacco alla catena di fornitura di Klue
La causa radice non è stata un'intrusione in LastPass. È stato un attacco alla catena di fornitura contro Klue, una piattaforma di market intelligence di terze parti usata dai team commerciali di LastPass e integrata con Salesforce e Gong.
Intorno al 12 giugno 2026, un attore di minaccia indicato come Icarus ha usato credenziali legacy compromesse di un servizio di integrazione per violare Klue. Da lì, gli aggressori hanno rubato token OAuth che davano accesso ai ticket di supporto Salesforce di LastPass. Uno strumento di fiducia connesso è diventato l'anello debole - e quella connessione ha silenziosamente portato l'accesso fin dentro il CRM di LastPass.
LastPass non è stata l'unica vittima. Lo stesso incidente di Klue avrebbe colpito anche Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity.

Perché conta anche se non usi LastPass
Due motivi. Primo, gli attacchi alla catena di fornitura sono un problema di tutti: un solo fornitore compromesso può esporre i dati di molte aziende in una volta, ed è esattamente per questo che lo stesso incidente ha toccato più organizzazioni non collegate tra loro. Gli strumenti connessi su cui si appoggiano i tuoi servizi fanno parte della tua superficie di attacco.
Secondo, anche se le tue password non sono state esposte, i dati di contatto trapelati sono carburante per il phishing. Aggressori che hanno il tuo nome, la tua e-mail, il tuo numero e il fatto che sei cliente LastPass possono costruire falsi "avvisi di sicurezza" molto convincenti. I dati trapelati sono proprio ciò che fa sembrare legittima una truffa.
Cosa fare
Poiché il tuo caveau non è stato compromesso, questo non è un reset di tutte le password fatto di corsa. La risposta giusta è calma e mirata:
- Aspettati il phishing e rallenta. Diffida di qualsiasi e-mail, telefonata o messaggio inatteso che citi LastPass, una "violazione" o il tuo account. Non cliccare i loro link; vai direttamente al sito ufficiale. Un'azienda seria non ti chiederà mai la password principale.
- Verifica che l'autenticazione a due fattori sia attiva. Con la 2FA (idealmente un'app di autenticazione o una chiave hardware - non l'SMS), anche una password sottratta con il phishing è molto più difficile da abusare.
- Usa una password unica ovunque. Questa violazione non ha esposto password dei caveau, ma una password unica per ogni sito resta la base che limita la portata di qualsiasi fuga futura.
- Valuta le tue opzioni. Se incidenti ripetuti hanno eroso la tua fiducia, confrontare i fornitori è ragionevole. La nostra guida alle migliori alternative a LastPass espone i compromessi.
In sintesi
Il riassunto onesto: i caveau di LastPass non sono stati violati a giugno 2026 - lo è stata una piattaforma di terze parti chiamata Klue, che ha esposto dati di supporto e di contatto tramite un'integrazione connessa. Il pericolo concreto è il phishing mirato costruito a partire dai dati di contatto trapelati, non password rubate. Resta vigile sui messaggi che citano la violazione, mantieni la 2FA attiva e password uniche ovunque, e scegli il tuo fornitore sui fatti anziché sulla paura.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Blinda i tuoi account → NordPassPassword forti e uniche · scanner di violazioni · piano gratuito→Domande frequenti
Il mio caveau di password LastPass è stato compromesso nella violazione del 2026?
No. LastPass ha dichiarato che i suoi prodotti, servizi e infrastrutture non sono stati colpiti e che i caveau delle password dei clienti sono rimasti sicuri. L'incidente di giugno 2026 ha esposto dati di ticket di supporto e di contatto (nomi, numeri di telefono, e-mail e indirizzi fisici) conservati nel suo ambiente Salesforce, non i caveau cifrati dove vivono le tue password. È questa la distinzione chiave rispetto alla nota violazione dei caveau del 2022: quella riguardava copie di backup dei dati del caveau, questa no.
Cosa è stato esposto esattamente nella violazione di LastPass del giugno 2026?
Secondo LastPass, gli aggressori hanno avuto accesso a dati di ticket di supporto e a record relativi alle vendite conservati nel suo CRM Salesforce. I campi esposti includono nomi, numeri di telefono, indirizzi e-mail e indirizzi fisici dei clienti. Non esiste un dato pubblico verificato su quanti clienti siano stati colpiti, quindi diffida di qualsiasi conteggio preciso che vedi. Le tue credenziali salvate e la tua password principale non facevano parte di questo set di dati.
Come sono entrati gli aggressori se LastPass stesso non è stato violato?
La causa radice è stata un attacco alla catena di fornitura contro Klue, una piattaforma di market intelligence usata dai team commerciali di LastPass e integrata con Salesforce e Gong. Intorno al 12 giugno 2026, un attore di minaccia indicato come Icarus ha usato credenziali legacy compromesse di un servizio di integrazione per violare Klue, poi ha rubato token OAuth che davano accesso ai ticket di supporto Salesforce di LastPass. L'anello debole è stato quindi uno strumento di fiducia connesso, non i sistemi propri di LastPass.
LastPass è stata l'unica azienda colpita dall'incidente di Klue?
No. Lo stesso incidente della catena di fornitura di Klue avrebbe colpito diverse altre organizzazioni, tra cui Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity. Gli attacchi alla catena di fornitura colpiscono in un colpo solo molti clienti di un unico fornitore compromesso, ed è in parte per questo che hanno un impatto così ampio.
Cosa dovrei fare dopo la violazione di LastPass del 2026?
Poiché il tuo caveau non è stato esposto, non devi reimpostare in preda al panico tutte le password. Il vero rischio è il phishing mirato che sfrutta i dati di contatto trapelati. Quindi: diffida di e-mail, telefonate o messaggi inattesi che citano LastPass o il tuo account, non cliccare mai i loro link e contatta LastPass solo tramite il sito ufficiale. Assicurati che l'autenticazione a due fattori sia attiva, verifica che ogni account usi una password unica e valuta se ti convenga un fornitore con uno storico più pulito.



