Μια σοβαρή παραβίαση ασφαλείας από τη γνωστή πλατφόρμα Klue έχει προκαλέσει ανησυχία στον κόσμο της τεχνολογίας και της κυβερνοασφάλειας, καθώς κακόβουλοι παράγοντες εκμεταλλεύτηκαν κενά για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα πελατών που σχετίζονται με το Salesforce. Η νέα ομάδα εκβιαστών με την ονομασία “Icarus” έχει ήδη αναλάβει την ευθύνη για την επίθεση, αναδεικνύοντας την υψηλή ζήτηση για ασφαλή πληροφοριακά συστήματα, ιδίως στον τομέα των επιχειρήσεων.
Η είδηση έγινε γνωστή διαδικτυακά μετά από σχετικές αναφορές από δύο εταιρείες κυβερνοασφάλειας, Huntress και ReliaQuest, οι οποίες περιέγραψαν πώς οι εισβολείς χρησιμοποίησαν ενσωματώσεις της Klue για να αποκτήσουν δεδομένα CRM από πολλές ενδεχομένως ευάλωτες οργανώσεις.
Ο Διευθύνων Σύμβουλος της Klue, Jason Smith, δήλωσε ότι η ανακάλυψη της μη εξουσιοδοτημένης δραστηριότητας έγινε στις 12 Ιουνίου, κάτι που οδήγησε την εταιρεία να συνεργαστεί με ειδικούς της κυβερνοασφάλειας για να κατανοήσει και να αποκαταστήσει τη κατάσταση.
“Ανακαλύψαμε έναν εισβολέα που απέκτησε πρόσβαση μέσω παλαιού τύπου διαπιστευτηρίων που σχετίζονται με υπηρεσία ενοποίησης. Χρησιμοποιώντας αυτήν την πρόσβαση, αποκτήθηκαν διακριτικά OAuth για σύνδεση με πλατφόρμες τρίτων, όπως το Salesforce,” πρόσθεσε ο Smith στη δήλωσή του.
Η Klue διαβεβαίωσε τους πελάτες ότι δεν υπάρχουν ενδείξεις ότι τα δεδομένα τους που είναι αποθηκευμένα στην πλατφόρμα έχουν παραβιαστεί, με το περιστατικό να περιορίζεται σε ενσωματώσεις τρίτων.
Αμέσως μετά τη παραβίαση, η εταιρεία ανέστειλε τα επηρεαζόμενα διαπιστευτήρια και διακριτικά, ενώ ξεκίνησε έρευνα και ειδοποίησε τις αρχές. Παράλληλα, προσέλαβε την CrowdStrike για να υποστηρίξει την αντίδραση στην επίθεση.
Οι εταιρείες Huntress και ReliaQuest κατέγραψαν ότι οι εισβολείς χρησιμοποίησαν κλεμμένα διαπιστευτήρια OAuth που σχετίζονται με τις ενσωματώσεις Klue για να αποκτήσουν πρόσβαση σε περιβάλλοντα Salesforce πελατών, με συνέπεια σοβαρή κλοπή δεδομένων.
Η ανάληψη ευθύνης από τον Ίκαρο
Η ομάδα εκβιαστών Icarus έχει μέχρι στιγμής επιβεβαιώσει την εμπλοκή της στην επίθεση μέσω ανακοινώσεων που δημοσίευσε στον ιστότοπο διαρροής δεδομένων τους.
“Όπως ίσως γνωρίζετε, το Klue.com ήταν πρόσφατα θύμα μας. Ορισμένες περιπτώσεις Salesforce άλλων εταιρειών που συνεργάζονται με την Klue έχουν παραβιαστεί,” δήλωσε η ομάδα Icarus.
Η ομάδα εκβιαστών συνέχισε να πιέζει την Klue, προτρέποντας οργανισμούς να επικοινωνήσουν μαζί τους μέσω της πλατφόρμας μηνυμάτων Session για να αποτρέψουν την περαιτέρω διαρροή κλεμμένων δεδομένων.
Πηγή αναφορών ανέφεραν μηνύματα ηλεκτρονικού ταχυδρομείου εκβιασμού που εστάλησαν σε οργανισμούς που επηρεάστηκαν από την παραβίαση, ενισχύοντας τις υποψίες για τη συμμετοχή της ομάδας Icarus.
Πολλές εταιρείες που επηρεάστηκαν, όπως Recorded Future, Tanium, και άλλες, έχουν εμφανίσει αναφορές σχετικά με την κλοπή δεδομένων από τις πηγές τους στο Salesforce.
Η ευρεία κλοπή δεδομένων ενδεχομένως θα μπορούσε να χρησιμοποιηθεί για μελλοντικές εκστρατείες phishing και κοινωνικής μηχανικής, με πολλές επιχειρήσεις να προειδοποιούν τους πελάτες τους για τις πιθανές απάτες.
Οι ομάδες ασφαλείας καταγράφουν το 54% των επιτυχημένων επιθέσεων και ειδοποιούν μόλις το 14%. Τα υπόλοιπα κινούνται στο περιβάλλον σας αόρατα.
Η λευκή βίβλος Picus δείχνει πώς η προσομοίωση παραβίασης και επίθεσης δοκιμάζει τους κανόνες SIEM και EDR σας, έτσι ώστε οι απειλές να σταματήσουν να ξεφεύγουν από τον εντοπισμό.
## Η άποψη του TechNoid.gr
Η παραβίαση που υπέστη η Klue αναδεικνύει την επικινδυνότητα των διαδικτυακών απειλών, ιδίως για τις επιχειρήσεις που διατηρούν ευαίσθητα δεδομένα. Η πρόκληση της ασφάλειας έγινε πιο έντονη και οι οργανώσεις στην Ελλάδα θα πρέπει να αναθεωρήσουν τις στρατηγικές τους ώστε να διασφαλίσουν ότι τέτοια συμβάντα δεν θα επαναληφθούν στο μέλλον. Η χρήση αναβαθμισμένων μεθόδων δημόσιας ασφάλειας και η ευαισθητοποίηση του προσωπικού φαίνονται κρίσιμης σημασίας για την αντιμετώπιση των προκλήσεων που προκύπτουν.
