Компания Klue из Ванкувера, позволяющая компаниям проводить исследование рынка путем подключения своих данных к своим системам, сообщила в пятницу, что хакеры похитили данные у неопределенного числа ее клиентов в результате кибератаки, произошедшей неделей ранее. (В блоге содержится код «noindex», который предписывает поисковым системам не индексировать данную страницу в результатах поиска.)
Группа киберпреступников Icarus взяла на себя ответственность за взлом, заявив на своем сайте с утечками, что опубликует похищенные данные в понедельник, если компания не выплатит хакерам выкуп.
Klue не раскрыла, сколько из сотен ее клиентов пострадали. Несколько компаний подтвердили, что их данные были похищены в ходе атаки, в том числе Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social и Tanium.
Это последняя из череды масштабных хакерских атак, в которых злоумышленники нацеливаются на компании, владеющие ключами к облачным базам данных других фирм. Взламывая такие компании, как Klue, хакеры рассчитывают, что компрометация одной точки отказа позволит им одновременно украсть данные у большого числа организаций. Только за последний год хакеры все чаще нацеливаются на аналогичных поставщиков промежуточного ПО, включая Gainsight и Salesloft, чтобы получить доступ к данным сотен компаний.
Klue сообщила, что хакеры получили доступ к системам компании 12 июня, используя «скомпрометированный устаревший учетный ключ», такой как пароль или токен, связанный с инструментом интеграции, который позволяет клиентам связывать облачные данные своей компании со своими учетными записями Klue.
Хакеры смогли похитить данные из облачных хранилищ клиентов Klue, например, из баз данных Salesforce. Компании часто хранят личную информацию своих клиентов в базах данных Salesforce, что делает их главной мишенью.
По данным различных пострадавших компаний, большая часть похищенных данных включает деловую контактную информацию, такую как имена, адреса электронной почты, номера телефонов, должности и некоторую информацию об учетных записях их клиентов.
Неясно, как хакеры получили скомпрометированные учетные данные или почему Klue не обнаружила кражу раньше. Аналогичные недавние массовые взломы, связанные с компрометацией и неправомерным использованием учетных данных, такие как в Snowflake и Tanstack, связывают с тем, что сотрудники непреднамеренно устанавливали вредоносное ПО для кражи паролей на устройства, которые они используют для работы.
Klue заявила, что привлекла фирму по реагированию на инциденты CrowdStrike и отключила свои интеграции для предотвращения дальнейшего доступа к данным клиентов.
Когда в понедельник с ним связался TechCrunch, генеральный директор Klue Джейсон Смит не сразу ответил на запрос о комментариях или на вопросы об инциденте, в том числе о том, получала ли компания какие-либо сообщения от хакеров, например, требование о выкупе.
Huntress, одна из компаний по обеспечению безопасности, чьи данные были похищены в результате взлома, сообщила в своем отчете об инциденте, что хакеры связались с ними с требованием выкупа, используя адрес электронной почты австралийской компании, чьи серверы, вероятно, были использованы неправомерно для этой кампании.
В июне прошлого года Klue сообщила, что готовится уволить около половины своего персонала, около 100 человек, поскольку компания удвоила инвестиции в ИИ. Неясно, привело ли сокращение штата к сбоям в системе безопасности компании. Неясно, кто, помимо Смита, отвечает за кибербезопасность в компании.
В настоящее время Klue не указывает лицо, курирующее кибербезопасность, на странице руководства компании.
Знаете ли вы больше о кибератаке на Klue? Ваша компания пострадала от взлома? Мы хотели бы услышать вас. Чтобы безопасно связаться с Заком Уиттакером, пишите в Signal по имени пользователя zackwhittaker.1337 или по электронной почте: zack.whittaker@techcrunch.com.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Zack Whittaker
