Взлом Klue привёл к утечке данных в нескольких компаниях, занимающихся кибербезопасностью.

Группа хакеров взяла на себя ответственность за взлом системы компании Klue, занимающейся анализом рынка, в результате которого хакеры смогли украсть огромные массивы данных у корпоративных клиентов компании, в число которых входят крупнейшие игроки в сфере кибербезопасности.

Компания Klue из Ванкувера, которая позволяет компаниям проводить маркетинговые исследования, подключая их данные к своим системам, сообщила в пятницу, что хакеры украли данные неустановленного числа ее клиентов во время кибератаки неделей ранее. (В блоге содержится код «noindex», который указывает поисковым системам не отображать страницу в результатах поиска.)

Группа киберпреступников Icarus взяла на себя ответственность за взлом, заявив на своем сайте утечек, что опубликует украденные данные в понедельник, если компания не заплатит хакерам выкуп.

Компания Klue не сообщила, сколько из сотен её клиентов пострадали. Несколько компаний подтвердили, что их данные были украдены во время атаки, в том числе Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social и Tanium.

Это последний из целой серии масштабных хакерских атак, в ходе которых хакеры нацеливаются на компании, владеющие ключами к облачным базам данных других компаний. Взламывая такие фирмы, как Klue, хакеры рассчитывают, что компрометация одной точки отказа позволит им украсть данные сразу у большого числа организаций. Только за последний год хакеры все чаще нацеливаются на аналогичных поставщиков промежуточного программного обеспечения, включая Gainsight и Salesloft, чтобы получить доступ к данным сотен компаний.

Клю заявил, что хакеры получили доступ к системам компании 12 июня, используя «скомпрометированные устаревшие учетные данные», такие как пароль или токен, связанные с инструментом интеграции, который позволяет клиентам связывать облачные данные своей компании со своими учетными записями Klue.

Хакеры смогли украсть данные из клиентских облачных хранилищ Klue, таких как базы данных Salesforce. Компании часто хранят личную информацию своих клиентов в базах данных Salesforce, что делает их привлекательной целью для злоумышленников.

По данным пострадавших компаний, большая часть украденных данных включает в себя контактную информацию предприятий, такую как имена, адреса электронной почты, номера телефонов, должности и некоторые данные учетных записей клиентов.

Неясно, как хакерам удалось получить скомпрометированные учетные данные и почему Klue не обнаружил кражу раньше. Аналогичные недавние массовые взломы, связанные с компрометацией и неправомерным использованием учетных данных, например, в Snowflake и TanStack, были связаны с тем, что сотрудники непреднамеренно устанавливали вредоносное ПО для кражи паролей на устройства, которые они используют для работы.

Компания Klue заявила, что обратилась за помощью к фирме по реагированию на инциденты CrowdStrike и отключила свои интеграции, чтобы предотвратить дальнейший доступ к данным клиентов.

В понедельник, когда с генеральным директором Klue Джейсоном Смитом связались представители TechCrunch, он не сразу ответил на запрос о комментарии и не ответил на вопросы об инциденте, в том числе о том, получала ли компания какие-либо сообщения от хакеров, например, с требованием выкупа.

Компания Huntress, одна из компаний, чьи данные были украдены в результате взлома, сообщила в своем отчете об инциденте, что хакеры связались с ней с требованием выкупа, используя адрес электронной почты австралийской компании, серверы которой, вероятно, были использованы не по назначению для проведения этой кампании.

В июне прошлого года Клю заявил, что готовится уволить около половины своего персонала, примерно 100 человек, в связи с увеличением инвестиций в искусственный интеллект. Неясно, привело ли сокращение штата к нарушениям безопасности в компании. Также неясно, кто, помимо Смита, отвечает за кибербезопасность в компании.

В настоящее время на странице руководства компании Klue отсутствует информация о лице, курирующем вопросы кибербезопасности.

Вам известно что-нибудь ещё о кибератаке на Klue? Ваша компания пострадала от утечки данных? Мы будем рады узнать об этом. Чтобы связаться с Заком Уиттакером безопасным способом, используйте Signal с именем пользователя zackwhittaker.1337 или электронную почту: zack.whittaker@techcrunch.com.

Источник: techcrunch.com