Ключевые выводы
- Взлом Klue произошёл из‑за старого OAuth‑токена, выданного третьей стороне в 2022 г. в рамках ограниченного пилотного проекта.
- Хакеры использовали токен, чтобы получить доступ к облачным хранилищам клиентов и выкачать их данные, в том числе у LastPass и нескольких кибер‑компаний.
- Klue не отозвал токен после завершения пилота, что свидетельствует о проблемах в управлении учётными данными и контроле доступа к поставщикам.
- Группа Icarus заявила о своей причастности и требует выкуп, угрожая публичным раскрытием данных.
- Эксперты советуют регулярно проводить ревизию токенов, внедрять строгий мониторинг доступа и использовать минимальные привилегии для интеграций.
В июне 2026 г. канадская компания Klue обнаружила масштабный инцидент, когда хакеры использовали оставшийся от пилотного проекта OAuth‑токен для доступа к данным её корпоративных клиентов. Утечка затронула известные бренды, включая менеджер паролей LastPass, и поставила под вопрос эффективность процедур управления учётными данными у самой Klue. Ниже – полная картина того, как произошёл взлом, что сделал компрометированный токен, и какие шаги следует предпринять, чтобы не допустить повторения.
Что случилось: хронология событий
12 июня 2026 г. команда безопасности Klue обнаружила подозрительное поведение в своих системах. А уже 16 июня компания публично уведомила о том, что хакеры получили доступ к данным нескольких клиентов.
Вскоре выяснилось, что злоумышленники использовали OAuth‑токен, выданный в 2022 г. третьей стороне в рамках ограниченного пилотного проекта. Токен оставался активным даже после завершения пилота.
С помощью этого токена злоумышленники «зашли» в облачные аккаунты клиентов, скачали базы данных и начали требовать выкуп, угрожая обнародовать информацию.
Группа, назвавшая себя Icarus, разместила детали утечки на своём сайте‑лейбле и заявила, что готова раскрыть данные, если не будет выплачен выкуп.
Как OAuth‑токен стал «золотым билетом»
OAuth‑токен — это цифровой «ключ», который позволяет приложению действовать от имени пользователя без передачи пароля. В случае с Klue токен использовался для интеграции с внешним сервисом, но компания не отозвала его после завершения теста.
Токен оставался «живым», поэтому хакеры смогли получить доступ к API‑интерфейсам, через которые хранились ключи доступа к облачным хранилищам клиентов (AWS, GCP, Azure). Это дало им возможность скачивать резервные копии, пользовательские профили и другие конфиденциальные сведения.
Из‑за того, что токен имел широкие привилегии (полный доступ к данным), атакующим не пришлось ломать парольные политики клиентов — достаточно было лишь подменить запросы к API.
Кого затронуло утечка?
Среди пострадавших компаний оказалось несколько известных игроков в кибербезопасности, в том числе LastPass, один из крупнейших менеджеров паролей. По словам представителей LastPass, в результате атаки были украдены данные службы поддержки, включая кейсы и переписку с пользователями.
Другие затронутые организации не раскрыли имена, но указали, что они работают с данными в облаках и используют интеграционные сервисы, похожие на тот, что использовал Klue.
Что говорит сама Klue
Пресс‑релиз компании подтверждает, что расследование продолжается. Представитель Klue, Кэти Берг, отмечает, что «компрометированный учётный элемент был предоставлен третьей стороне в 2022 г., в рамках ограниченного пилотного проекта». При этом детали проекта, срок его работы и название партнёра остаются закрытыми.
Klue объявила о запуске «комплексного пересмотра» процессов управления учётными данными, контроля доступа поставщикам и мониторинга. Однако конкретики по шагам и срокам пока нет.
Кто стоит за атакой: Icarus
Группа Icarus известна подписями в стиле «продажа данных за выкуп». Взлом Klue стал их очередным публичным заявлением. На их сайте они разместили «датасет», обещая публиковать его, если требования не будут удовлетворены.
Klue официально не комментирует, ведёт ли переговоры с группой, и планирует ли платить выкуп. Однако в отрасли уже обсуждают потенциальный риск раскрытия данных клиентов, что может привести к дополнительным репутационным и юридическим проблемам.
Уроки для компаний: как не повторить ошибку
Регулярный аудит токенов. Все OAuth‑токены и API‑ключи должны проверяться минимум раз в квартал. Неактивные или «проектные» токены следует сразу отзывать.
Минимальные привилегии. При выдаче токенов следует использовать принцип «least privilege» — токен получает только те разрешения, которые действительно нужны.
Контроль поставщиков. Любая внешняя интеграция должна проходить сквозную проверку: кто получает доступ, какие данные, как долго.
Мониторинг аномалий. Настройте оповещения о необычных запросах к облачным API, особенно если они происходят из новых IP‑адресов или в нетипичное время.
План реагирования. Подготовьте сценарии для быстрого отзыва токенов и изоляции компрометированных систем, чтобы сократить «время до обнаружения».
Справка
Klue — канадская платформа для конкурентного анализа и управления рыночной информацией, основана в 2015 г. в Ванкувере. Компания предоставляет клиентам инструменты для сбора, анализа и визуализации данных о конкурентах. Главный офис находится в районе Юнион‑Стрит, а клиентская база включает технологические фирмы и маркетинговые агентства. В 2022 г. Klue запустила пилотный проект с внешним интегратором, в рамках которого выдал OAuth‑токен, позже ставший причиной утечки. На 2026 год у компании более 200 сотрудников и около 150 корпоративных клиентов.
OAuth токен — протокол авторизации, позволяющий приложению получить ограниченный доступ к ресурсам пользователя без передачи пароля. Токен обычно имеет срок жизни от нескольких часов до нескольких лет, в зависимости от настроек. При неправильном управлении токен может стать «золотым билетом» для злоумышленников. Стандарт OAuth 2.0 широко используется в облачных сервисах, мобильных приложениях и веб‑интеграциях. Лучшие практики советуют отзыва́ть токены сразу после завершения задачи.
LastPass — один из лидеров рынка менеджеров паролей, основан в 2008 г. в США. Приложение хранит зашифрованные пароли и предоставляет их через браузерные расширения и мобильные клиенты. В 2026 г. компания объявила о компромиссе данных службы поддержки после взлома Klue. Несмотря на инцидент, LastPass продолжает развивать функции многократной аутентификации и Zero‑Knowledge шифрования. Компания обслуживает более 25 млн пользователей по всему миру.
Icarus (группа) — неправительственная кибер‑группа, активная с 2021 года, специализируется на вымогательских атаках и публикации утечек. Они часто используют «двойную» тактику: сначала шифруют данные, затем требуют выкуп за отказ от публикации. В случае с Klue они публично объявили о наличии «полных наборов» украденных данных и поставили ультиматум. Их действия часто приводят к высоким штрафам и репутационным потерям у жертв. Аналитики считают, что Icarus использует готовые скрипты для автоматизированного доступа к облачным API.
OAuth‑токен управления (credential management) — практика создания, хранения, мониторинга и отзыва учётных данных (токенов, ключей, паролей). Эффективное управление позволяет быстро реагировать на инциденты и снижать «поверхностную» доступность данных. Инструменты вроде HashiCorp Vault, Azure Key Vault и AWS Secrets Manager помогают автоматизировать процесс. В случае Klue отсутствие таких процессов привело к «забыванию» токена. Регуляторы в ЕС и США усиливают требования к управлению учётными данными, требуя регулярных аудитов и отчётности.
Ванкувер (Vancouver) — крупнейший город провинции Британская Колумбия, известный как технологический хаб Канады. Здесь базируются стартапы в области ИТ, биотехнологий и искусственного интеллекта. Город привлекает инвесторов благодаря благоприятному налоговому режиму и развитой инфраструктуре. Klue, как часть этого экосистемы, использует местные кибер‑ресурсы и учебные заведения для найма специалистов. Инциденты кибератак в Ванкувере часто становятся предметом обсуждения в профильных конференциях.
Итоги: утечка в Klue показала, как один забытый токен может превратить обычный сервис в «мост» к тысячам клиентских данных. Регулярный аудит учётных данных, строгий контроль поставщиков и минимальные привилегии — это не абстрактные советы, а необходимые шаги в любой организации, работающей с облачными интеграциями. Если ваш бизнес зависит от внешних API, проверьте, какие токены у вас живут без надзора, и отозовите их прямо сейчас.
