Ключевые выводы
- Группа Icarus объявила о своей ответственности за взлом Klue, получив доступ через «компрометированные устаревшие учетные данные» интеграционной платформы.
- В результате были украдены контактные данные и часть аккаунт‑информации клиентов, среди которых Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social и Tanium.
- Klue привлекла CrowdStrike, отключила интеграции и начала расследование, но детали ransom‑требования и масштабы ущерба пока неизвестны.
В середине июня 2024 года киберпреступники из группы Icarus пробились в системы Klue, облачного провайдера рыночной аналитики, и выкачали огромный объём данных из клиентских облаков, включая Salesforce. Взлом раскрыл уязвимость в цепочке интеграций и напомнил, насколько опасны «одна точка доступа» и устаревшие токены. Что дальше — разберём подробнее.
Как прошёл инцидент: хронология и технические детали
12 июня 2024 г. хакеры использовали «компрометированный legacy‑credential» — пароль или токен, оставшийся от старой интеграции, позволяющей клиентам соединять свои облака (например, Salesforce) с платформой Klue. Этот токен был недостаточно защищён и стал входными воротами.
После получения доступа злоумышленники переместились в облачные хранилища клиентов, где скопировали списки контактов (имена, e‑mail, телефон, должность) и часть информации об аккаунтах. Данные от нескольких сотен компаний были выведены за пределы сети за считанные часы.
Группа Icarus разместила объявление на своём leak‑сайте, заявив, что если Klue не заплатит требуемый выкуп, они опубликуют данные уже в понедельник.
Klue в ответ привлекла фирму по реагированию на инциденты CrowdStrike, отключила все внешние интеграции и начала форензическую экспертизу. Официальные комментарии от CEO Джейсона Смита так и не последовали.
Кто пострадал: список клиентов и характер утечки
Официально компания не раскрыла количество пострадавших, однако несколько фирм подтвердили факт кражи:
- Gong – платформа для анализа разговоров продаж.
- Jamf – решения для управления устройствами Apple.
- HackerOne – сервис bug‑баунти.
- Insurity – страховые технологии.
- OneTrust – управление конфиденциальностью.
- Recorded Future – киберразведка.
- Snyk – безопасность кода.
- Sprout Social – соцмедиа‑менеджмент.
- Tanium – управление конечными точками.
Все пострадавшие отметили, что украдены именно «бизнес‑контакты»: имена, e‑mail, телефоны, должности и иногда детали о клиентских аккаунтах. Это типичная цель при атаках на интеграционные платформы — данные могут использоваться для фишинга, спама и дальнейших компрометаций.
Почему именно провайдеры интеграций становятся мишенью
Klue, как и Gainsight, Salesloft, Snowflake, Tanstack, входит в категорию «middleware» — промежуточные сервисы, связывающие разные облачные системы. Одна уязвимость в таком сервисе открывает двери к сотням компаний‑клиентов.
Взломы последних лет показали общую схему: злоумышленники получают доступ к токену/паролю, часто через малварь, установленную на рабочем компьютере сотрудника, и используют его для «переадресации» запросов данных из облаков клиентов.
Среди похожих инцидентов: утечка у Gainsight (200+ компаний), инцидент у Salesloft (многочисленные краденыe данные) и атаки на Snowflake, где были раскрыты пароли пользователей.
Меры реагирования и рекомендации для компаний‑клиентов
Klue отключила все интеграции и передала контроль CrowdStrike. Однако для компаний‑пользователей важно выполнить несколько шагов:
- Сменить токены и пароли — особенно те, что выданы для интеграционных сервисов.
- Включить MFA — многофакторная аутентификация резко снижает шанс кражи.
- Провести аудит прав доступа — убедитесь, что каждое приложение имеет минимально необходимые привилегии.
- Настроить мониторинг аномального трафика — например, нехарактерные запросы к Salesforce.
- Обновить политики резервного копирования — чтобы быстро восстановить данные в случае утечки.
Если вы получаете запрос о выкупе от групп вроде Icarus, рекомендуется привлекать правоохранительные органы и экспертов по кибербезопасности, а не платить напрямую.
Как связана сокращение штата в Klue с инцидентом?
В июне 2023 года Klue объявила о сокращении половины персонала (около 100 человек) в рамках переориентации на ИИ‑решения. Сокращения могли повлиять на уровень внутреннего контроля и мониторинга, но прямых доказательств связи пока нет.
Важно отметить, что на странице руководства компании нет явно назначенного директора по кибербезопасности, что может свидетельствовать о недостаточном фокусе на защите.
Справка
Klue — канадская компания из Ванкувера, основанная в 2018 г., специализируется на автоматизации рыночной аналитики и конкурентного анализа. Продукт позволяет соединять данные из Salesforce, HubSpot и других CRM‑систем, создавая визуальные «battle‑cards» для продаж. До инцидента Klue обслуживала более 500 корпоративных клиентов.
Icarus — группа киберпреступников, действующая с 2021 г., известна публикацией вымогательных утечек (data‑leak sites) и требованием выкупа в биткойнах. Группа специализируется на компрометации учётных данных и использовании их для доступа к облачным ресурсам.
CrowdStrike — мировой лидер в области реагирования на инциденты и endpoint‑защиты. Компания предоставляет услуги форензики, угрозо‑разведки и управляемой защиты (MDR). В данном случае CrowdStrike осуществляет расследование и помогает Klue закрыть уязвимости.
Salesforce — одна из крупнейших CRM‑платформ, используемая миллионами компаний для хранения клиентских данных. Доступ к Salesforce часто предоставляется через API‑токены, что делает его привлекательной целью для хакеров.
Jason Smith — сооснователь и генеральный директор Klue. До основания Klue работал в сфере бизнес‑аналитики и стартапов. На момент взлома публичных заявлений о состоянии инцидента он не сделал.
Gong — платформа для анализа разговоров продаж, использует AI для распознавания паттернов в звонках. После утечки Gong подтвердил, что утекли только контактные данные, и начала работу над усилением защиты интеграций.
Утечка в Klue показала, что даже «скрытые» токены могут стать причиной масштабных потерь. Проверка интеграций, регулярная ротация секретов и чёткая политика доступа — это то, что помогает избежать подобных инцидентов в будущем.
