Пријави инцидент
Пријави инцидент

Списокот на жртви од OAuth-пробивот во Klue се зголемува, додека хакерската група Icarus ја презема одговорноста за нападот

Објавено: 22.06.2026

Платформата за пазарна интелигенција Klue јавно потврди неодамнешен безбедносен инцидент кој им овозможил на напаѓачите да украдат OAuth токени што се користат за поврзување со Salesforce околините на клиентите, додека новата група за дигитална изнуда Icarus јавно ја презеде одговорноста за нападот.

Објавата следува откако компаниите за сајбер-безбедност Huntress и ReliaQuest детално опишаа како напаѓачите ги злоупотребиле компромитираните интеграции Klue Battlecards за кражба на податоци од повеќе организации кои користат Salesforce CRM.

Во соопштение објавено оваа недела, Jason Smith, извршен директор на Klue, потврди дека компанијата на 12 јуни открила неовластена активност која зафатила дел од инфраструктурата за интеграции на платформата.

„На 12 јуни идентификувавме неовластена активност што зафати дел од инфраструктурата за интеграции на Klue. Оттогаш работиме заедно со доверливи експерти за сајбер-безбедност за да разбереме што се случило, да ги поддржиме нашите клиенти и да ги обновиме врските на кои се потпирате“, изјавил Смит.

Според истрагата на компанијата, напаѓачот добил пристап преку компромитиран стар акредитив (credential) поврзан со сервис за интеграција. Потоа го искористил тој пристап за да прибави OAuth токени што се користат за поврзување на Klue со одредени платформи од трети страни, вклучително и Salesforce, по што пристапил до податоци во повеќе клиентски околини.

Компанијата наведува дека во моментов нема докази дека биле погодени податоци складирани директно во платформата Klue и дека инцидентот бил ограничен на интеграции со надворешни системи.

Klue соопшти дека веднаш ги поништила засегнатите акредитиви и токени, го отстранила неовластениот код, ги деактивирала компромитираните интеграции, започнала истрага и ги известила надлежните органи. Компанијата исто така потврдила дека ја ангажирала CrowdStrike за помош при одговорот на инцидентот.

ReliaQuest и Huntress утврдиле дека напаѓачите користеле украдени OAuth акредитиви поврзани со Klue интеграциите за да пристапат до Salesforce околините на клиентите и да спроведат масовна кражба на податоци.

ReliaQuest забележала дека напаѓачите генерирале OAuth токени и користеле Python-скрипти за подолг временски период да испраќаат барања кон API-интерфејсот на Salesforce, додека податоците биле извлекувани.

Подоцна Huntress откри дека и нејзината Salesforce околина била погодена од пробивот во Klue и дека украдените податоци вклучувале:

  • деловни контакти,
  • продажни комуникации,
  • информации за цени,
  • и други деловни записи.

Icarus ја презема одговорноста

Иако претходно BleepingComputer и Huntress го поврзаа инцидентот со операцијата за дигитална изнуда Icarus, сега самите напаѓачи јавно ја презедоа одговорноста преку својата страница за објавување украдени податоци.

„Како што веројатно веќе сте слушнале, Klue.com неодамна беше компромитиран од наша страна. Податоци од повеќе Salesforce инстанци на компании кои биле партнери на Klue беа ексфилтрирани (извлечени)“, се наведува во објавата на Icarus.

Icarus ја презема одговорноста за пробивот во Klue

Напаѓачите продолжиле со притисок врз Klue и погодените организации, барајќи од нив да ги контактираат преку платформата за пораки Session, со цел да спречат објавување на украдените податоци.

Објавата следува по претходното известување на BleepingComputer, кое го поврза нападот со Icarus, откако извори споделија е-пораки за изнуда испратени до погодените организации.

И Huntress независно ја поврза операцијата со Icarus преку Session Messenger ID-ата користени во е-пораките за изнуда и преку страницата на групата за објавување украдени податоци.

Оттогаш, дополнителни жртви јавно открија дека биле погодени од нападите, меѓу кои се:

  • Recorded Future
  • Tanium
  • Jamf
  • Sprout Social
  • Gong
  • Insurity

Речиси сите наведуваат дека инцидентот довел до кражба на податоци од нивните Salesforce инстанци, но дека не биле погодени нивните платформи, инфраструктурата, податоците за плаќање или внатрешните системи.

Неколку организации предупредија дека украдените деловни контакт информации можат да бидат искористени за последователни:

  • phishing напади,
  • напади преку социјален инженеринг,
  • кампањи за дополнителна изнуда.

Тие ги повикаа клиентите да бидат внимателни и да внимаваат на сомнителни пораки, барања за информации и обиди за лажно претставување.

Извори:

  • Bleeping Computer – Klue OAuth breach victim list grows as Icarus hackers claim attack Bleeping Computer