Klue a confirmat încă de luni că atacatorii au spart sistemele pe 12 iunie, furând date de la un număr nespecificat de clienți. Printre companiile afectate se numără nume grele precum Gong, Jamf, HackerOne, Huntress, Insurity, LastPass, OneTrust, Recorded Future, ReliaQuest, Snyk, Sprout Social și Tanium. Inițial, grupul Icarus amenința că va publica datele furate dacă Klue nu plătește o răscumpărare. Dar, joi seară, Klue a transmis clienților o actualizare privată, văzută de TechCrunch, în care spunea: „Continuăm să comunicăm cu actorul amenințător cu care am fost în contact („Icarus”). Icarus ne-a spus că ia măsuri pentru a șterge datele furate de la clienții Klue. Site-ul Icarus rămâne inactiv și avem indicii că Icarus chiar șterge datele.”
Până joi dimineața, site-ul grupului Icarus era într-adevăr offline, ceea ce coincide cu declarațiile Klue. Totuși, lucrurile s-au complicat în ultimele zile. Potrivit Klue, Icarus a informat compania că o a doua grupare de hackeri încearcă să șantajeze direct clienții. Această grupare, al cărei nume nu a fost dezvăluit, a postat pe propriul site o listă cu companiile presupus afectate, susținând că au furat datele clienților Klue direct de la Icarus. Hackerii au afirmat, de asemenea, că Klue ar fi plătit o răscumpărare „unui operator Icarus care este un adolescent care locuiește undeva în Marea Britanie sau în țările învecinate”. TechCrunch nu a putut verifica independent această afirmație, nici nu a putut stabili de ce site-ul Icarus este jos.
„Plătiți răscumpărarea sau vom divulga totul dacă nu ne plătiți”, au scris infractorii cibernetici pe site-ul lor, susținând că există 195 de clienți Klue afectați în total. În actualizarea de joi, Klue a spus: „Icarus ne-a spus că cealaltă parte are doar mostre de date pentru un subset de clienți, nu toate datele. Icarus ne-a rugat să informăm clienții Klue să nu facă plăți către această altă parte.” Klue a sugerat clienților care sunt contactați de al doilea grup să ceară o mostră aleatorie de date ca dovadă că hackerii dețin cu adevărat informațiile pe care le pretind.
Compania a explicat anterior că hackerii au furat datele clienților folosind un set de credențiale terțe din 2022, care făceau parte dintr-un program pilot limitat. Atacatorii au folosit aceste credențiale pentru a fura chei de autentificare (tokeni OAuth) și a accesa norii și bazele de date ale clienților. Klue nu a oferit detalii suplimentare despre aceste credențiale furate, cum ar fi cui i-au fost atribuite sau de ce nu au fost revocate în ultimii patru ani.
Această breșă ridică semne de întrebare serioase cu privire la securitatea datelor în lanțul de aprovizionare tehnologic. Klue, ca furnizor de cercetare de piață, deține informații sensibile despre strategiile concurenților, planurile de produs și date financiare ale clienților săi. Faptul că un set de credențiale vechi de patru ani a fost suficient pentru a compromite atât de multe companii arată cât de vulnerabile pot fi sistemele atunci când nu se aplică cele mai bune practici de gestionare a accesului.
Mai mult, apariția unui al doilea grup de hackeri care încearcă să profite de pe urma haosului este un semnal de alarmă pentru întreaga industrie. Se pare că datele furate au devenit o marfă pe piața neagră, iar infractorii cibernetici se luptă între ei pentru a obține cât mai mulți bani. Deși Icarus pare să fi cedat presiunilor și să șteargă datele, nu există nicio garanție că al doilea grup nu va reuși să divulge informațiile pe care le deține.
Pentru clienții Klue, această situație este un coșmar. Companiile afectate trebuie acum să își reevalueze propriile măsuri de securitate, să își reseteze tokenii OAuth și să monitorizeze îndeaproape orice activitate suspectă. În plus, ele trebuie să decidă dacă să plătească sau nu răscumpărarea cerută de al doilea grup – o decizie dificilă, deoarece plata nu garantează că datele nu vor fi oricum scurse.
De ce este important:
Această breșă de securitate demonstrează cât de fragilă este încrederea în ecosistemul digital. O singură vulnerabilitate – un set de credențiale vechi, neutilizat – a permis hackerilor să acceseze datele a zeci de companii importante. Mai mult, apariția unui al doilea grup de atacatori care încearcă să exploateze situația arată că infracțiunile cibernetice devin din ce în ce mai organizate și mai periculoase. Pentru orice companie care își externalizează servicii sau folosește platforme terțe, acest caz este un avertisment clar: securitatea trebuie să fie o prioritate absolută, iar gestionarea accesului și revocarea permisiunilor vechi sunt esențiale pentru a preveni astfel de dezastre.
