Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Взлом по подписке: ИИ-агенты против вашего мобильного приложения

Вебинар пройдет 2 июля, начало в 14:00. Разберем, как сделать взлом вашего приложения невыгодным для злоумышленника

Взломай взломщика, пока он не взломал тебя. Новый поворот в истории с компрометацией Klue

5089
Klue Salesforce утечка OAuth Icarus вымогательство интеграции
Взломай взломщика, пока он не взломал тебя. Новый поворот в истории с компрометацией Klue
Klue Salesforce утечка OAuth Icarus вымогательство интеграции

Тот, кто держал трофеи в руках, внезапно потерял контроль сам.

image

Истории с вымогателями редко заканчиваются после угрозы публикации данных, и взлом Klue получил новый поворот: список пострадавших клиентов вырос, а похищенные сведения могли перейти от одной преступной группы к другой. По данным SecurityWeek, за последние дни около двух десятков компаний подтвердили компрометацию своих экземпляров Salesforce после атаки через интеграцию Klue.

Новые уведомления раскрыли ещё несколько затронутых организаций. Среди них AlertMedia, Blackbaud, Camunda, Cresta, Deel, Lucanet, Link11 и Tines. Ранее атака уже связывалась с другими клиентами Klue, но свежие данные показывают, что последствия шире первых публичных сообщений. При этом SecurityWeek уточняет, что не каждый клиент платформы оказался под ударом. Например, Autodesk могла не использовать связку Klue с Salesforce и поэтому не пострадала.

Сама атака произошла 11 и 12 июня. Злоумышленники вошли в Klue с помощью скомпрометированных старых учётных данных, получили OAuth-токены клиентских интеграций и через них выгрузили данные из Salesforce. Такие токены позволяют сервисам обмениваться информацией без повторного ввода пароля, поэтому их кража фактически дала атакующим готовый доступ к подключённым системам.

Salesforce отключила интеграцию Klue 17 июня и, судя по странице статуса, пока не вернула её в работу. Gong также остановила связку с Klue. Компания Klue публично подтвердила утечку и заявила о расследовании, но подробные выводы пока не раскрыла.

Ответственность за атаку взял на себя злоумышленник под именем Icarus. Он добавил Klue и часть клиентов платформы на сайт утечек в Tor и угрожал выложить похищенные сведения, если не получит выкуп. Речь, по данным SecurityWeek, шла в основном о деловых контактах и данных поддержки.

Дальше история стала запутаннее. Klue, как пишет TechCrunch со ссылкой на уведомления для клиентов, вступила в контакт с Icarus, после чего тот начал удалять украденные данные. Сайт утечек Icarus несколько дней оставался недоступен. SecurityWeek допускает, что такая картина может указывать на выплату выкупа, но подтверждения этому нет.

Самая неожиданная деталь связана уже не с Klue, а с самими вымогателями. По данным SecurityWeek, Klue сообщила клиентам, что Icarus якобы тоже взломали, а часть похищенных сведений оказалась у другого злоумышленника. Теперь уже он, предположительно, пытается шантажировать пострадавших.

Всего инцидент мог затронуть 195 клиентов Klue, но вторая группа, по предварительным данным, получила у Icarus только образцы данных. Другие известные вымогательские группировки публично не заявляли, что владеют материалами из этого инцидента.