Klue виявив витік даних у низці кібербезпекових компаній

“`html

Ключові деталі:

• Зловмисники з групи Icarus заявили про відповідальність за кібератаку на постачальника ринкової розвідки Klue.
• Внаслідок атаки було викрадено значні обсяги даних корпоративних клієнтів Klue, серед яких є провідні компанії сфери кібербезпеки.
• Причиною проникнення стало використання скомпрометованих облікових даних для доступу до інтеграційних інструментів компанії.

Група хакерів взяла на себе відповідальність за інцидент у компанії Klue, що спеціалізується на ринковій аналітиці. Внаслідок злому зловмисники здобули доступ до великих обсягів даних клієнтів компанії, серед яких чимало гігантів індустрії кібербезпеки.

Компанія Klue, розташована у Ванкувері, яка надає послуги корпоративного дослідження ринку шляхом інтеграції даних клієнтів у свої системи, повідомила у п’ятницю, що хакери викрали інформацію у невизначеної кількості своїх замовників під час кібератаки, що сталася тижнем раніше. (Блог містить код “noindex”, який забороняє пошуковим системам індексувати сторінку).

Злочинне угруповання Icarus заявило про свою причетність до атаки, стверджуючи на своєму ресурсі витоків, що оприлюднить викрадені дані в понеділок, якщо компанія не сплатить викуп.

Klue не розголошує точну кількість постраждалих клієнтів зі сотень, що обслуговуються. Деякі компанії вже підтвердили втрату даних під час атаки, серед них Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social та Tanium.

Це останній приклад серії масштабних зламів, де кіберзлочинці націлюються на компанії, які контролюють доступ до хмарних сховищ даних інших організацій. Компрометуючи такі фірми, як Klue, хакери роблять ставку на те, що зламавши єдину точку відмови, вони зможуть одночасно викрасти дані у численних компаній. Лише за останній рік зловмисники дедалі частіше атакували подібних постачальників проміжного програмного забезпечення, включаючи Gainsight та Salesloft, аби отримати доступ до даних сотень компаній.

Klue повідомила, що зловмисники отримали доступ до систем компанії 12 червня, використовуючи “скомпрометовані застарілі облікові дані” (наприклад, пароль або токен), пов’язані з інструментом інтеграції, який дозволяє клієнтам підключати свої корпоративні хмарні дані до облікових записів Klue. 

Хакерам вдалося викрасти дані з хмарних сервісів клієнтів Klue, таких як бази даних Salesforce. Компанії часто зберігають персональну інформацію своїх клієнтів у Salesforce, що робить ці бази даних пріоритетною мішенню.

За даними постраждалих компаній, значна частина викрадених даних містить контактну інформацію бізнес-користувачів, включаючи імена, адреси електронної пошти, номери телефонів, посади та деяку інформацію про акаунти їхніх клієнтів.

Наразі невідомо, як саме зловмисники отримали скомпрометовані облікові дані, або чому Klue не виявила крадіжку раніше. Схожі нещодавні масові атаки, пов’язані з компрометацією та зловживанням обліковими даними, як-от у випадках з Snowflake та TanStack, були пов’язані з ненавмисним встановленням співробітниками шкідливого програмного забезпечення для викрадення паролів на робочих пристроях.

Klue заявила, що залучила до реагування фірму з кібербезпеки CrowdStrike та відключила свої інтеграції для запобігання подальшому доступу до даних клієнтів.

Під час звернення компанія Klue не надала оперативних коментарів щодо інциденту, зокрема, чи отримала компанія будь-які комунікації від хакерів, як-от вимогу викупу.

Huntress, одна з компаній, чиї дані були викрадені під час атаки, зазначила у своєму звіті про інцидент, що зловмисники зв’язалися з ними з вимогою викупу, використовуючи адресу електронної пошти австралійської компанії, чиї сервери, ймовірно, були використані для кампанії.

Минулого червня Klue оголосила про підготовку до звільнення близько половини персоналу (приблизно 100 осіб) задля посилення інвестицій у штучний інтелект. Невідомо, чи призвело скорочення штату до послаблення заходів безпеки в компанії. Також неясно, хто, окрім керівника, відповідає за кібербезпеку в компанії.

Наразі Klue не вказує особу, відповідальну за кібербезпеку, на сторінці керівництва.

“`

Подробиці можна знайти на сайті: techcrunch.com