No final de junho de 2026, o LastPass confirmou uma nova violação de dados - mas o título exige logo uma ressalva honesta: não é mais uma violação dos cofres. Os atacantes alcançaram dados de suporte e de contacto guardados no ambiente Salesforce do LastPass, ao passo que o LastPass declarou que os seus produtos, serviços e infraestrutura não foram afetados e que os cofres de palavras-passe dos clientes permaneceram seguros. Eis o que realmente aconteceu, o que significa e o que fazer.
O que aconteceu
O LastPass confirmou que os atacantes acederam a dados de casos de suporte guardados no seu ambiente Salesforce. A informação exposta inclui nomes, números de telefone, endereços de e-mail e moradas dos clientes, dados de casos de suporte e registos relacionados com vendas.
O ponto crucial, declarado pelo próprio LastPass: os seus produtos, serviços e infraestrutura não foram afetados, e os cofres de palavras-passe dos clientes permaneceram seguros. Por outras palavras, este incidente é sobre dados de suporte e de contacto do CRM, não sobre o cofre cifrado onde vivem as suas credenciais guardadas. É essa distinção que o separa da muito comentada violação das cópias de segurança de cofre de 2022, e vale a pena tê-la presente antes de reagir. Se andava a pesar o historial da plataforma, a nossa análise sobre se o LastPass é seguro coloca tudo em contexto.
Como aconteceu - um ataque à cadeia de fornecimento do Klue
A causa raiz não foi uma intrusão no LastPass. Foi um ataque à cadeia de fornecimento contra o Klue, uma plataforma externa de inteligência de mercado usada pelas equipas comerciais do LastPass e integrada com o Salesforce e o Gong.
Por volta de 12 de junho de 2026, um agente de ameaça referido como Icarus usou credenciais legadas comprometidas de um serviço de integração para violar o Klue. A partir daí, os atacantes roubaram tokens OAuth que davam acesso aos casos de suporte Salesforce do LastPass. Uma ferramenta de confiança ligada tornou-se o elo fraco - e essa ligação levou silenciosamente o acesso até ao CRM do LastPass.
O LastPass não foi a única vítima. O mesmo incidente do Klue terá afetado também a Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity.

Por que isto importa mesmo que não use o LastPass
Duas razões. Primeira, os ataques à cadeia de fornecimento são um problema de todos: um único fornecedor comprometido pode expor dados de muitas empresas de uma só vez, que é exatamente por isso que o mesmo incidente tocou em várias organizações sem ligação entre si. As ferramentas ligadas de que os seus serviços dependem fazem parte da sua superfície de ataque.
Segunda, mesmo que as suas palavras-passe não tenham sido expostas, os dados de contacto expostos são combustível para o phishing. Atacantes que têm o seu nome, o seu e-mail, o seu número e o facto de ser cliente do LastPass conseguem montar falsos "alertas de segurança" muito convincentes. Os dados que vazaram são precisamente o que faz uma fraude parecer legítima.
O que fazer
Como o seu cofre não foi comprometido, isto não é uma reposição apressada de todas as palavras-passe. A resposta certa é calma e dirigida:
- Conte com o phishing e abrande. Desconfie de qualquer e-mail, chamada ou mensagem inesperada que mencione o LastPass, uma "violação" ou a sua conta. Não clique nos seus links; vá diretamente ao site oficial. Uma empresa legítima nunca lhe pedirá a palavra-passe mestra.
- Confirme que a autenticação de dois fatores está ativa. Com 2FA (idealmente uma aplicação de autenticação ou uma chave de hardware - não SMS), até uma palavra-passe obtida por phishing é bem mais difícil de abusar.
- Use uma palavra-passe única em todo o lado. Esta violação não expôs palavras-passe de cofre, mas uma palavra-passe única por site continua a ser a base que limita o alcance de qualquer fuga futura.
- Pondere as suas opções. Se incidentes repetidos corroeram a sua confiança, comparar fornecedores é razoável. O nosso guia das melhores alternativas ao LastPass expõe os compromissos.
A conclusão
O resumo honesto: os cofres do LastPass não foram violados em junho de 2026 - foi uma plataforma externa chamada Klue, que expôs dados de suporte e de contacto através de uma integração ligada. O perigo prático é o phishing dirigido construído a partir dos dados de contacto expostos, não palavras-passe roubadas. Mantenha-se atento a mensagens que mencionem a violação, conserve a 2FA ativa e palavras-passe únicas em todo o lado, e decida o seu fornecedor com os factos e não com o medo.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Proteja as suas contas → NordPassPalavras-passe fortes e únicas · scanner de fugas · plano gratuito→Perguntas frequentes
O meu cofre de palavras-passe do LastPass foi comprometido na violação de 2026?
Não. O LastPass declarou que os seus produtos, serviços e infraestrutura não foram afetados e que os cofres de palavras-passe dos clientes permaneceram seguros. O incidente de junho de 2026 expôs dados de casos de suporte e de contacto (nomes, números de telefone, e-mails e moradas) guardados no seu ambiente Salesforce, não os cofres cifrados onde vivem as suas palavras-passe. Esta é a distinção fundamental face à conhecida violação dos cofres de 2022: aquela envolveu cópias de segurança de dados de cofre, esta não.
O que foi exatamente exposto na violação do LastPass de junho de 2026?
Segundo o LastPass, os atacantes acederam a dados de casos de suporte e a registos relacionados com vendas guardados no seu CRM Salesforce. Os campos expostos incluem nomes, números de telefone, endereços de e-mail e moradas dos clientes. Não existe um número público verificado sobre quantos clientes foram afetados, por isso desconfie de qualquer contagem concreta que veja. As suas credenciais guardadas e a sua palavra-passe mestra não faziam parte deste conjunto de dados.
Como é que os atacantes entraram se o próprio LastPass não foi pirateado?
A causa raiz foi um ataque à cadeia de fornecimento contra o Klue, uma plataforma de inteligência de mercado usada pelas equipas comerciais do LastPass e integrada com o Salesforce e o Gong. Por volta de 12 de junho de 2026, um agente de ameaça referido como Icarus usou credenciais legadas comprometidas de um serviço de integração para violar o Klue e depois roubou tokens OAuth que davam acesso aos casos de suporte Salesforce do LastPass. O elo fraco foi, portanto, uma ferramenta de confiança ligada, não os sistemas próprios do LastPass.
O LastPass foi a única empresa afetada pelo incidente do Klue?
Não. O mesmo incidente da cadeia de fornecimento do Klue terá afetado várias outras organizações, incluindo a Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity. Os ataques à cadeia de fornecimento atingem de uma só vez muitos clientes de um único fornecedor comprometido, o que em parte explica o seu grande impacto.
O que devo fazer após a violação do LastPass de 2026?
Como o seu cofre não foi exposto, não precisa de repor todas as palavras-passe em pânico. O risco real é o phishing dirigido que usa os dados de contacto expostos. Por isso: desconfie de e-mails, chamadas ou mensagens inesperadas que mencionem o LastPass ou a sua conta, nunca clique nos seus links e contacte o LastPass apenas através do site oficial. Garanta que a autenticação de dois fatores está ativa, confirme que cada conta usa uma palavra-passe única e pondere se um fornecedor com um histórico mais limpo lhe convém mais.



