Icarus-hackere stjal navne, mails og telefonnumre fra LastPass via Klue-brud. Selve adgangskodehvælvene er sikre — men phishing-risikoen stiger nu.
Foto: Planet Volumes / Unsplash
LastPass er ramt af endnu et databrud — denne gang via en sårbarhed hos tredjepartsleverandøren Klue, der gav hackere adgang til kundeoplysninger fra adgangskodehåndtereren med over 33 millioner brugere.
Angrebet er udført af hackergruppen Icarus, som truer med at offentliggøre de stjålne data, medmindre en løsesum betales. LastPass understreger dog, at selve adgangskodehvælvene forbliver usikrede — men bruddet er alligevel alvorligt nok til, at virksomheden har varslet alle berørte kunder.
Klue er en markedsanalysevirksomhed, som hjælper virksomheder med at overvåge konkurrenter og analysere markeder. Mange store tech- og sikkerhedsvirksomheder bruger platformen og integrerer den direkte med deres CRM-systemer som Salesforce.
Det var netop disse integrationer, Icarus udnyttede. Den 12. juni 2026 fik hackerne adgang til Klues systemer ved hjælp af et kompromitteret ældre credential — et gammelt login eller en token tilknyttet en integrationsapp. Via denne adgang lykkedes det dem at stjæle OAuth-tokens, som Klue opbevarede på vegne af sine kunder. Med tokenene fik hackerne direkte adgang til LastPass' Salesforce-miljø, uden at skulle kende et eneste kodeord.
Klue opdagede indtrænget og lukkede integrationerne ned, mens sikkerhedsfirmaet CrowdStrike blev engageret til at håndtere hændelsen. Offentliggørelsen kom den 22. juni — 10 dage efter det første brud, ifølge TechCrunch.
LastPass bekræftede den 23. juni 2026, at følgende data er stjålet fra kundesupportmiljøet:
Det afgørende er dog, hvad der ikke er stjålet: selve adgangskodehvælvene, som indeholder brugernes gemte login-oplysninger, er intakte. LastPass fastslår, at virksomhedens produkter, tjenester og infrastruktur ikke er berørt af hændelsen.
Alligevel er de stjålne oplysninger ikke uskyldige. Kundernes navne og mailadresser kan bruges til målrettede phishing-angreb — noget der er særlig bekymrende, da LastPass-brugere netop i januar 2026 var mål for en stor phishing-kampagne, hvor svindlerne udgav sig for at være LastPass og opfordrede brugerne til at lave backups af deres hvælv.
LastPass er langt fra den eneste virksomhed, der er ramt af Klue-bruddet. Ifølge BleepingComputer har Icarus-gruppen opnået adgang til data fra ni organisationer i alt:
Fælles for alle er, at de brugte Klues platform og havde Salesforce eller lignende CRM-systemer integreret via OAuth-tokens — præcis den angrebsvektor Icarus benyttede.
Angrebsgruppen har truet med at offentliggøre alle stjålne data, medmindre krav om løsesum opfyldes. Huntress rapporterede desuden, at hackerne tog kontakt via en kompromitteret australsk virksomheds e-mail-adresse.
For mange brugere føles dette som en ubehagelig déjà vu. I 2022 oplevede LastPass sit hidtil mest alvorlige brud, da hackere stjal samtlige kunders krypterede adgangskodehvælv. De stjålne hvælv var ganske vist krypterede, men analyser viste efterfølgende, at svage masterkodeord betød, at mange hvælv kunne knækkes. Så sent som i slutningen af 2025 var russiske kriminelle grupper stadig i stand til at tappe kryptovaluta-punge ved hjælp af data fra 2022-bruddet.
I januar 2026 fulgte den omtalte phishing-kampagne mod LastPass-brugere. Nu, i juni 2026, er det supply chain-angrebet via Klue, der rammer.
LastPass har deaktiveret medarbejderadgang til Klue, roteret alle eksponerede API- og OAuth-tokens og underrettet de relevante myndigheder. Ifølge virksomheden er der ingen tegn på, at aktørerne bag bruddet er de samme som dem, der stod bag 2022-angrebet.
Det er vigtigt at understrege, at dine gemte adgangskoder i LastPass-hvælvet er sikre. Men det stjålne kan bruges mod dig:
Hold øje med phishing. Modtager du e-mails, der udgiver sig for at være LastPass og beder dig handle hurtigt — slet dem. LastPass vil ikke bede dig om at sikkerhedskopiere dit hvælv via et link i en mail.
Skift dit masterkodeord. Selvom hvælvet ikke er kompromitteret, er det en god anledning til at styrke din primære adgang. Brug en lang og unik adgangssætning.
Aktiver to-faktor-godkendelse. Har du ikke allerede gjort det, bør du aktivere 2FA på din LastPass-konto, så et stjålet kodeord alene ikke kan give adgang til dit hvælv.
Klue-bruddet er en klassisk supply chain-angreb: hackerne ramte ikke LastPass direkte, men via en betroet leverandør der sad på OAuth-nøgler til vigtige systemer. Det illustrerer en grundlæggende sårbarhed i den moderne SaaS-verden, hvor hundredvis af virksomheder er indbyrdes forbundne via API-integrationer.
For danske LastPass-brugere er den gode nyhed, at adgangskoder er i sikkerhed. Den dårlige nyhed er, at dine personlige kontaktoplysninger nu sandsynligvis er i hænderne på en kriminel gruppe, der aktivt truer med at offentliggøre dem. Vær på vagt over for phishing i de kommende uger — og overvej, om LastPass' gentagne sikkerhedshændelser er nok til, at det er tid til at kigge på alternativer som Bitwarden eller 1Password.
Bob Iger bekræfter: Disney og Apple havde reelle fusionssamtaler. Apple viste ikke nok interesse. Hvad ville det ellers have ændret for tech og streaming?
15. juni 2026·4 min læsning
Google Audio Memory til Pixel 10 lytter til samtaler og musik hele dagen. Behandling sker on-device — men funktionen vækker alvorlig privatlivsdebat.
15. juni 2026·5 min læsning
UK-domstol godkender iCloud-retssag mod Apple. 40 millioner brugere søger 3 mia. pund — ca. 28 mia. kr. Apple afviser alle anklagerne om cloud-monopol.
15. juni 2026·4 min læsning