Aralarında bir dizi siber güvenlik firmasının da bulunduğu çok sayıda şirket, iş zekası sağlayıcısı Klue'nun ihlalinden etkilendiklerini açıkladı.
Huntress, Recorded Future, Jamf ve Tanium, Klue'nun istihbarat hizmetlerini kullandıklarını kabul etti ve ihlalin, Klue entegrasyonları için kullanılan çalıntı OAuth token'ları aracılığıyla Salesforce hesaplarına yetkisiz erişime olanak sağladığını doğruladı.
Klue Battlecards İhlali ve Salesforce OAuth Tokenının Kötüye Kullanımı
Klue CEO'su Jason Smith tarafından 19 Haziran'da yayınlanan resmi açıklamaya göre şirket, 12 Haziran'da bir saldırı tespit etti.
Yetkisiz bir aktör, güvenliği ihlal edilmiş eski kimlik bilgileri aracılığıyla Klue'nun entegrasyon altyapısına, özellikle de Klue Battlecards uygulamasına erişim sağladı. Bu erişimi, bir uygulamanın bir firmanın başka bir hizmetteki verilerine şifreye ihtiyaç duymadan erişmesine olanak tanıyan güvenli bir dijital anahtar olan OAuth tokenlerini elde etmek ve Klue'yu Salesforce dahil üçüncü taraf platformlara bağlamak için kullandılar.
Daha sonra Klue müşteri verilerine eriştiler ve çalınan OAuth jetonlarını kullanarak bağlı Salesforce ortamlarında Klue'yu taklit ettiler ve etkinlik tespit edilip kontrol altına alınmadan önce hassas müşteri bilgilerini sızdırdılar.
Klue'dan Smith, şirketin etkilenen kimlik bilgilerini ve jetonları iptal ederek, yetkisiz kodları kaldırarak ve potansiyel olarak etkilenen entegrasyonları devre dışı bırakarak derhal yanıt verdiğini söyledi.
Önemli Gelişmeler
Klue ayrıca kolluk kuvvetlerine bilgi verdi ve dahili bir soruşturma başlattı ve güvenlik kontrollerine ilişkin kapsamlı bir inceleme başlattı. Artık adli tıp konusunda destek sağlamak için CrowdStrike'ı devreye soktu.
Müşteriler, yaşananlar hakkında düzenli olarak bilgilendirildi ve çeşitli kanallar aracılığıyla iyileştirme rehberliği sağlandı.
Teknik Analiz
Salesforce ayrıca 17 Haziran'da Klue Battlecards entegrasyonunu devre dışı bıraktığını kamuoyuna bildirdi.
Gelecekte Ne Bekleniyor?
Klue İhlali Siber Güvenlik Firmalarını Etkiliyor
Huntress, Recorded Future, Jamf ve Tanium, müşteriye yönelik blog gönderilerinde, ihlalin Klue'nun altyapısından kaynaklandığını ancak kendi ürün ve hizmetlerinin etkilenmediğini doğruladı.
Tanium, müşterilere "onlara hizmet etme yeteneğimizi hiçbir şekilde etkilemediği" konusunda güvence verdi.
Sonuç ve Değerlendirme
Bu arada Jamf, "Yanal hareket olduğuna dair hiçbir kanıtımız yok ve olayı bizim tarafımızdan kontrol altına aldı" dedi.
Ancak Huntress, işletme adları, denenen/kullanılan ürünler, abonelik ayrıntıları, iş iletişim bilgileri ve pazarlama ve satış iletişimleri de dahil olmak üzere müşteri verilerinin ele geçirilmiş olabileceği konusunda uyardı.
Uzmanların Görüşleri
Jamf ayrıca müşterileri, çalınan Salesforce verilerinden yararlanan potansiyel kimlik avı kampanyaları konusunda uyardı ve Jamf çalışanları gibi davranan kötü niyetli aktörlere karşı dikkatli olunmasını tavsiye etti.
Recorded Future, Klue'nun entegrasyonunu devre dışı bıraktı ve üçüncü taraf entegrasyonlarının sürekli izlenmesi ihtiyacını vurgulayan bir adli analiz gerçekleştirdi. Şirket şunları söyledi: "Bu olay, özellikle hassas verilere ayrıcalıklı erişime sahip olan üçüncü taraf entegrasyonlarının sürekli izlenmesine yönelik kritik ihtiyacın altını çiziyor."
Nasıl Önlem Alınmalı?
ReliaQuest, şüpheli ve alarma geçmiş Klue'yu ilk tespit eden kişi oldu. Ancak şirket Infosecurity'e Klue kullanmadığını ve ihlalden etkilenmediğini söyledi.
Saldırganların, bağlantılı Salesforce ortamlarına geçmek için OAuth token'larından nasıl yararlandığına ilişkin yorum yapan firma şunları söyledi: "Düşmanın, tehlikeye atılmış bir entegrasyondan müşterinin CRM'sine yatay olarak geçme yeteneği, modern tehdit aktörlerinin gelişen taktiklerini gösteriyor."
Sistem Güvenliği
Sigorta hizmeti sağlayıcısı Insurity ve sosyal medya analiz platformu Sprout Social da dahil olmak üzere siber güvenlik dışı firmalar da etkilendi.
İhlal, yakın zamanda tespit edilen bir siber şantaj grubu olan Icarus tarafından 19 Haziran'da iddia edildi. Fidye yazılımı izleme sitesi Ransomware.live'a göre Icarus'un veri sızıntısı sitesinde yalnızca üç kurban listeleniyor.
20 Haziran'da grup, iletişim kurduğunu iddia ettiği tüm Klue müşterilerine, verileri yayınlanmadan önce yanıt vermeleri için 22 Haziran'a kadar süreleri olduğu konusunda uyarıda bulunan bir son tarih mesajı yayınladı.
Bu makale, ReliaQuest'in, şirketin Klue ihlalinden etkilenmediğini vurgulayan yorumlarını eklemek üzere 22 Haziran'da güncellendi.
Detaylar ve Etkileri
Hemen okuyun: Qualys, Salesloft Drift Hack'inin En Son Mağdurları