У инцидента с Klue стало больше подтвержденных пострадавших. Сразу несколько компаний из сферы кибербезопасности сообщили, что их Salesforce-данные были затронуты через интеграцию с платформой конкурентной разведки Klue.
Речь идет не о прямом взломе продуктов HackerOne, Huntress, Snyk, Tanium, Recorded Future, Jamf или других компаний. Ключевая точка — сторонняя интеграция Klue с Salesforce. Атакующие получили доступ к части интеграционной инфраструктуры Klue, забрали OAuth-токены, которые использовались для подключения к внешним сервисам, и через них обратились к данным в подключенных клиентских средах.
Klue подтвердила, что инцидент обнаружили 12 июня. Компания пишет, что злоумышленник получил доступ через скомпрометированные legacy-учетные данные, связанные с интеграционным сервисом. После этого атакующий получил OAuth-токены для подключения к сторонним платформам, включая Salesforce, и доступ к данным в ряде подключенных клиентских окружений.
Компания заявляет, что отозвала затронутые учетные данные и токены, отключила потенциально затронутые интеграции, удалила неавторизованный код, начала расследование и привлекла CrowdStrike. Также Klue уведомила правоохранительные органы.
SecurityWeek насчитал минимум девять организаций, публично подтвердивших влияние атаки на Klue. Среди них HackerOne, Huntress, Jamf, OneTrust, Recorded Future, Snyk, Tanium, Insurity и Sprout Social. Отдельно Gong сообщила, что отключила интеграцию Klue после уведомления об инциденте.
HackerOne работает с программами поиска уязвимостей, Huntress — с управляемой защитой, Snyk — с безопасностью разработки, Recorded Future — с разведкой угроз, Tanium — с управлением и защитой конечных устройств. То есть удар пришелся по вендорам, чья деятельность связана с безопасностью.
Почти все публичные заявления сходятся в одной детали: их собственные продукты, инфраструктура и основные сервисы не были скомпрометированы. Затронута CRM-часть, связанная с продажами, аккаунтами, контактами, маркетинговыми коммуникациями и деловыми записями.
Публичные уведомления описывают похожий набор утекших данных: названия компаний, деловые контакты, рабочие email-адреса, номера телефонов, должности, адреса организаций, сведения об аккаунтах, продажах, продуктах, подписках и активности в CRM.
HackerOne пишет, что через OAuth-интеграцию Klue неизвестная сторона получила доступ и скопировала часть CRM-данных из Salesforce. Компания подчеркивает: данные об уязвимостях не должны храниться в CRM, а предварительная форензика не нашла признаков доступа к таким данным.
Huntress заявила, что ее продукты, инфраструктура, телеметрия, пароли и платежные данные не были затронуты. В потенциально затронутый набор компания включает бизнес-названия, продукты, которые клиент тестировал или использовал, сведения о подписках, деловые контакты, маркетинговые и sales-коммуникации, а также заметки по возможностям продаж.
Snyk сообщил, что неавторизованная сторона получила доступ к данным из Salesforce-среды через интеграцию Klue. По текущей оценке Snyk, влияние в основном ограничено бизнес-полями в Salesforce, включая деловую контактную информацию и только заголовок и описание из ограниченной части customer support cases. Содержимое обращений, продукты Snyk и инфраструктура, по заявлению компании, не затронуты.
Gong пишет, что инцидент начался у стороннего интегратора Klue, а не в собственных продуктах Gong. Компания не видит прямого влияния на записи звонков и расшифровки разговоров клиентов. Потенциально затронуты имена лицензированных пользователей, их должности и рабочие email-адреса.
Huntress связала инцидент с группой Icarus. Позже Klue появилась на Tor-сайте этой группы. Там злоумышленники заявили об ответственности и пригрозили публикацией данных, украденных из Salesforce-сред клиентов Klue.
SecurityWeek также указывает, что злоумышленники угрожали опубликовать данные 22 июня, если Klue и затронутые организации не вступят в переговоры. Это типичная схема давления в современных атаках без шифрования: не ломать работу сервиса, а украсть данные и использовать страх публикации.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
