Крупный Утечка Данных У Провайдера Рыночной Аналитики Klue: Что Случилось И Почему Это Важно

Ключевые выводы

  • Группа Icarus объявила о своей ответственности за взлом Klue, получив доступ через «компрометированные устаревшие учетные данные» интеграционной платформы.
  • В результате были украдены контактные данные и часть аккаунт‑информации клиентов, среди которых Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social и Tanium.
  • Klue привлекла CrowdStrike, отключила интеграции и начала расследование, но детали ransom‑требования и масштабы ущерба пока неизвестны.
В середине июня 2024 года киберпреступники из группы Icarus пробились в системы Klue, облачного провайдера рыночной аналитики, и выкачали огромный объём данных из клиентских облаков, включая Salesforce. Взлом раскрыл уязвимость в цепочке интеграций и напомнил, насколько опасны «одна точка доступа» и устаревшие токены. Что дальше — разберём подробнее.

Как прошёл инцидент: хронология и технические детали

12 июня 2024 г. хакеры использовали «компрометированный legacy‑credential» — пароль или токен, оставшийся от старой интеграции, позволяющей клиентам соединять свои облака (например, Salesforce) с платформой Klue. Этот токен был недостаточно защищён и стал входными воротами.

После получения доступа злоумышленники переместились в облачные хранилища клиентов, где скопировали списки контактов (имена, e‑mail, телефон, должность) и часть информации об аккаунтах. Данные от нескольких сотен компаний были выведены за пределы сети за считанные часы.

Группа Icarus разместила объявление на своём leak‑сайте, заявив, что если Klue не заплатит требуемый выкуп, они опубликуют данные уже в понедельник.

Klue в ответ привлекла фирму по реагированию на инциденты CrowdStrike, отключила все внешние интеграции и начала форензическую экспертизу. Официальные комментарии от CEO Джейсона Смита так и не последовали.

Кто пострадал: список клиентов и характер утечки

Официально компания не раскрыла количество пострадавших, однако несколько фирм подтвердили факт кражи:

  • Gong – платформа для анализа разговоров продаж.
  • Jamf – решения для управления устройствами Apple.
  • HackerOne – сервис bug‑баунти.
  • Insurity – страховые технологии.
  • OneTrust – управление конфиденциальностью.
  • Recorded Future – киберразведка.
  • Snyk – безопасность кода.
  • Sprout Social – соцмедиа‑менеджмент.
  • Tanium – управление конечными точками.

Все пострадавшие отметили, что украдены именно «бизнес‑контакты»: имена, e‑mail, телефоны, должности и иногда детали о клиентских аккаунтах. Это типичная цель при атаках на интеграционные платформы — данные могут использоваться для фишинга, спама и дальнейших компрометаций.

Почему именно провайдеры интеграций становятся мишенью

Klue, как и Gainsight, Salesloft, Snowflake, Tanstack, входит в категорию «middleware» — промежуточные сервисы, связывающие разные облачные системы. Одна уязвимость в таком сервисе открывает двери к сотням компаний‑клиентов.

Взломы последних лет показали общую схему: злоумышленники получают доступ к токену/паролю, часто через малварь, установленную на рабочем компьютере сотрудника, и используют его для «переадресации» запросов данных из облаков клиентов.

Среди похожих инцидентов: утечка у Gainsight (200+ компаний), инцидент у Salesloft (многочисленные краденыe данные) и атаки на Snowflake, где были раскрыты пароли пользователей.

Меры реагирования и рекомендации для компаний‑клиентов

Klue отключила все интеграции и передала контроль CrowdStrike. Однако для компаний‑пользователей важно выполнить несколько шагов:

  1. Сменить токены и пароли — особенно те, что выданы для интеграционных сервисов.
  2. Включить MFA — многофакторная аутентификация резко снижает шанс кражи.
  3. Провести аудит прав доступа — убедитесь, что каждое приложение имеет минимально необходимые привилегии.
  4. Настроить мониторинг аномального трафика — например, нехарактерные запросы к Salesforce.
  5. Обновить политики резервного копирования — чтобы быстро восстановить данные в случае утечки.

Если вы получаете запрос о выкупе от групп вроде Icarus, рекомендуется привлекать правоохранительные органы и экспертов по кибербезопасности, а не платить напрямую.

Как связана сокращение штата в Klue с инцидентом?

В июне 2023 года Klue объявила о сокращении половины персонала (около 100 человек) в рамках переориентации на ИИ‑решения. Сокращения могли повлиять на уровень внутреннего контроля и мониторинга, но прямых доказательств связи пока нет.

Важно отметить, что на странице руководства компании нет явно назначенного директора по кибербезопасности, что может свидетельствовать о недостаточном фокусе на защите.

Справка

Klue — канадская компания из Ванкувера, основанная в 2018 г., специализируется на автоматизации рыночной аналитики и конкурентного анализа. Продукт позволяет соединять данные из Salesforce, HubSpot и других CRM‑систем, создавая визуальные «battle‑cards» для продаж. До инцидента Klue обслуживала более 500 корпоративных клиентов.

Icarus — группа киберпреступников, действующая с 2021 г., известна публикацией вымогательных утечек (data‑leak sites) и требованием выкупа в биткойнах. Группа специализируется на компрометации учётных данных и использовании их для доступа к облачным ресурсам.

CrowdStrike — мировой лидер в области реагирования на инциденты и endpoint‑защиты. Компания предоставляет услуги форензики, угрозо‑разведки и управляемой защиты (MDR). В данном случае CrowdStrike осуществляет расследование и помогает Klue закрыть уязвимости.

Salesforce — одна из крупнейших CRM‑платформ, используемая миллионами компаний для хранения клиентских данных. Доступ к Salesforce часто предоставляется через API‑токены, что делает его привлекательной целью для хакеров.

Jason Smith — сооснователь и генеральный директор Klue. До основания Klue работал в сфере бизнес‑аналитики и стартапов. На момент взлома публичных заявлений о состоянии инцидента он не сделал.

Gong — платформа для анализа разговоров продаж, использует AI для распознавания паттернов в звонках. После утечки Gong подтвердил, что утекли только контактные данные, и начала работу над усилением защиты интеграций.

Утечка в Klue показала, что даже «скрытые» токены могут стать причиной масштабных потерь. Проверка интеграций, регулярная ротация секретов и чёткая политика доступа — это то, что помогает избежать подобных инцидентов в будущем.

Интересно почитать :

Война за ИИ: Anthropic vs OpenAI — этика против прибыли в гонке за оборонные
контракты
Война за ИИ: Anthropic vs OpenAI — этика против прибыли в гонке за оборонные контракты

Ключевые выводы Anthropic отказался от оборонного контракта из-за опасений использования ИИ для массового наблюдения и автономного оружия OpenAI заключила сделку с Министерством обороны США, вызвав волну негативной реакции пользователей Удаления …

Peace Duo — тонкий подушечный спикер с костью‑проводимостью: как спать лучше без
наушников
Peace Duo — тонкий подушечный спикер с костью‑проводимостью: как спать лучше без наушников

Ключевые выводы Peace Duo — ультратонкий спикер под подушку, использующий технологию кости‑проводимости, который передаёт звук напрямую в ухо, не мешая соседям. Встроенные 4‑часовые звуковые дорожки (дождь, волны, ветер, гроза) хранятся на …

Пентагон против Anthropic: суд над ИИ-лабораторией, которая отказалась убивать
Пентагон против Anthropic: суд над ИИ-лабораторией, которая отказалась убивать

Ключевые выводы Пентагон обвинил Anthropic в угрозе национальной безопасности, несмотря на $200 млн контракт ИИ-лаборатория отказалась участвовать в массовом надзоре и принимать решения об убийствах Судебный процесс может стать прецедентом …

Восстановление работы TikTok в США после сбоя: влияние на пользователей и рост
конкурентов
Восстановление работы TikTok в США после сбоя: влияние на пользователей и рост конкурентов

Ключевые выводы ТикТок восстановил работу после недельного простоя, вызванного снежной бурей в дата-центре Oracle Сбой затронул ключевые функции для 220 млн американских пользователей Технические проблемы совпали с завершением сделки по …

Meta запускает AI‑Mode и новые инструменты ИИ на Facebook: что изменится для
пользователей?
Meta запускает AI‑Mode и новые инструменты ИИ на Facebook: что изменится для пользователей?

Ключевые выводы AI‑Mode позволяет искать ответы в публичных постах Facebook, задавая вопросы простым языком. Новые инструменты AI‑Edit дают возможность менять одежду, прическу и стилизацию фото и видео в Stories и …

Генеральные директора Anthropic и OpenAI критикуют действия пограничных агентов
— но хвалят Трампа
Генеральные директора Anthropic и OpenAI критикуют действия пограничных агентов — но хвалят Трампа

Два самых влиятельных человека в мире искусственного интеллекта высказались о событиях в Миннеаполисе. Их заявления показывают сложную дилемму: как критиковать действия правительства, не ставя под угрозу миллиардные контракты. Что произошло …

ФильтрИзбранноеМеню43750 ₽
Top