Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Взлом по подписке: ИИ-агенты против вашего мобильного приложения

Вебинар пройдет 2 июля, начало в 14:00. Разберем, как сделать взлом вашего приложения невыгодным для злоумышленника

Забытый доступ из 2022 года. Из-за старого пилотного проекта Klue пострадали LastPass и другие ИТ-гиганты

5182
Klue LastPass Salesforce OAuth-токены Icarus
Забытый доступ из 2022 года. Из-за старого пилотного проекта Klue пострадали LastPass и другие ИТ-гиганты
Klue LastPass Salesforce OAuth-токены Icarus

Кибергруппировка Icarus потребовала выкуп под угрозой опубликовать данные клиентов пострадавших компаний.

image

Взлом платформы Klue для анализа рынка привёл к утечке данных клиентов LastPass. LastPass начал уведомлять пользователей об утечке персональных данных, записей из службы поддержки и материалов, связанных с продажами. Хакеры получили имена, номера телефонов, электронные и почтовые адреса клиентов.

12 июня LastPass узнал об инциденте у подрядчика, чью платформу команды продаж и продвижения использовали вместе с Salesforce и Gong. Хакеры получили OAuth-токены, которые Klue хранила для клиентов, а затем применили ключи для доступа к данным LastPass в Salesforce. OAuth-токен даёт подключённому сервису право входить в корпоративную систему без постоянного ввода пароля.

Утечка затронула только сервисы, связанные с Klue. Продукты, инфраструктура и хранилища паролей LastPass не пострадали, а расследование не выявило доступа к данным из Gong. LastPass прекратил доступ сотрудников к Klue, сменил скомпрометированные API-токены, провёл проверку вместе с Klue и Salesforce, а также уведомил правоохранительные органы. Компания заявила, что восстановительные работы завершены, а скомпрометированные OAuth-токены заменили.

Klue обнаружила несанкционированную активность 12 июня. Хакеры вошли в инфраструктуру компании через устаревшие учётные данные, связанные с интеграционным сервисом. Доступ выдали стороннему подрядчику ещё в 2022 году для ограниченного пилотного проекта. Klue не раскрыла назначение пилота, его продолжительность и название подрядчика, а также не объяснила, почему учётные данные сохранили после завершения работ.

Пока неизвестно, что именно попало к хакерам: логин и пароль сотрудника, ключ доступа или другой тип учётных данных. Klue не уточнила, получили ли хакеры учётные данные из систем самой компании или со стороны подрядчика, которому доступ выдали для пилотного проекта. Компания заявила, что проверяет управление учётными данными, контроль доступа поставщиков, средства мониторинга и процессы развёртывания сервисов.

От взлома Klue пострадали Huntress, ReliaQuest, Recorded Future, Jamf и Tanium. О краже данных также сообщили Sprout Social, Gong и Insurity. Хакеры выгружали из Salesforce деловые контакты, коммерческие предложения, переписку с клиентами и другие записи CRM. Huntress сообщила, что не нашла признаков доступа к данным об угрозах, паролям, платёжной информации и инженерным системам.

Специалисты ReliaQuest заметили автоматические скрипты, которые работали почти сутки. В одной из клиентских сред программа отправила около тысячи запросов к Salesforce за 15 минут. Salesforce временно отключила интеграцию Klue Battlecards и подчеркнула, что доступ к данным возник через подключение Klue, а не через уязвимость собственной платформы.

Содержание обращений в поддержку LastPass пока неизвестно. В переписке с сотрудниками сервиса могут находиться личные сведения: пользователи обращаются туда из-за проблем с оплатой, восстановления доступа к аккаунту и других вопросов, связанных с учётной записью. LastPass предупредил клиентов о фишинговых письмах, звонках и попытках социальной инженерии с использованием похищенных контактов. Компания отдельно напомнила, что сотрудники сервиса никогда не запрашивают мастер-пароль.

Для мониторинга атаки LastPass опубликовал IP-адреса 138.226.246[.]94, 94.154.32[.]160, 159.183.215[.]61 и 159.183.181[.]239, а также домены отправителей baccarat.com[.]au, robinskitchen.com[.]au и house.com[.]au. Группировка Icarus взяла ответственность за взлом Klue и требует выкуп, угрожая опубликовать похищенные материалы. Klue не сообщила, связывалась ли с вымогателями и планирует ли выполнять требования.

Для LastPass инцидент стал очередной крупной утечкой за последние годы. В 2022 году хакеры похитили архив хранилищ паролей клиентов. Хранилища защищали мастер-пароли, известные только владельцам, однако слабые мастер-пароли позволяли подбирать ключи офлайн. Позднее несколько краж криптовалюты связали с тем взломом: злоумышленники могли получить ключи от криптокошельков после расшифровки хранилищ. По данным LastPass за 2024 год, сервисом пользовались более 33 млн человек, а число платных клиентов достигало около 1,6 млн.