Cerca de duas dezenas de clientes da Klue vieram a público e confirmaram que suas instâncias do Salesforce foram comprometidas em um ataque à cadeia de suprimentos (ataque que explora relações de confiança entre fornecedores e clientes) ocorrido no início deste mês.
O ataque se desenrolou entre os dias 11 e 12 de junho, quando hackers usaram credenciais legadas comprometidas para acessar a plataforma de inteligência de mercado Klue, obter tokens OAuth (credenciais digitais usadas para autorizar integrações entre sistemas) das integrações dos clientes com a Klue e exfiltrar dados em massa.
O Salesforce desativou a integração com a Klue em 17 de junho, e sua página de status mostra que ela ainda não foi reativada. A Gong também desativou a integração.
A lista de organizações impactadas também inclui AlertMedia, Blackbaud (requer autenticação), Camunda, Cresta, Deel, Lucanet, Link11, e Tines. A Klue tem centenas de clientes e o alcance do impacto pode ser maior, mas a SecurityWeek não viu outras notificações sobre o incidente.
Vale notar também que alguns clientes da Klue, como a Autodesk, podem não usar a integração com o Salesforce por meio da Klue e, por isso, não foram afetados.
O ataque foi reivindicado por um agente de ameaça chamado Icarus, que adicionou a Klue e vários de seus clientes a um site de vazamento baseado em Tor (rede anônima que dificulta o rastreamento de acessos), ameaçando divulgar as informações roubadas — principalmente dados comerciais de contato e suporte — caso o resgate não fosse pago.
A Klue confirmou o vazamento de dados na segunda-feira, afirmando que estava investigando o caso, mas ainda não compartilhou publicamente atualizações sobre as conclusões.
Enquanto isso, porém, a empresa de pesquisa de mercado notificou seus clientes de forma privada que está em contato com o agente de ameaça, que começou a apagar os dados roubados, segundo a TechCrunch publicou.
O site de vazamento do Icarus está fora do ar há alguns dias, provavelmente como resultado das negociações com a Klue, o que sugere que a empresa pode ter pago o resgate.
Além disso, a Klue teria informado aos clientes que o próprio Icarus foi hackeado, e que os dados roubados agora estão nas mãos de outro agente de ameaça, que está conduzindo sua própria campanha de extorsão.
O incidente supostamente afeta 195 clientes da Klue, mas o segundo grupo teria obtido apenas dados de amostra do Icarus.
Nenhum outro grupo de extorsão conhecido, além do Icarus, parece ter reivindicado publicamente a posse de dados roubados durante o incidente da Klue. A SecurityWeek enviou um e-mail à Klue pedindo um posicionamento e atualizará este artigo caso a empresa responda.
