Bir bilgisayar korsanlığı grubu, piyasa istihbaratı sağlayıcısı Klue'de, bilgisayar korsanlarının, aralarında siber güvenlik alanındaki en büyük isimlerden bazılarının da bulunduğu şirketin kurumsal müşterilerinden çok sayıda veri çalmasına olanak tanıyan bir ihlalden övgüyle bahsetti.
Şirketlerin verilerini sistemlerine bağlayarak pazar araştırması yapmalarına olanak tanıyan Vancouver merkezli Klue, Cuma günü yaptığı açıklamada, bilgisayar korsanlarının bir hafta önce gerçekleşen bir siber saldırı sırasında belirsiz sayıda müşterisinden veri çaldığını söyledi. (Blog, arama motorlarına sayfayı arama sonuçlarında listelememelerini söyleyen "noindex" kodunu içerir.)
Siber suç grubu Icarus, sızıntı sitesinde şirketin hackerların fidyesini ödememesi halinde çalınan verileri Pazartesi günü yayınlayacağını söyleyerek ihlalden pay aldı.
Klue yüzlerce müşterisinden kaçının etkilendiğini söylemedi. Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social ve Tanium dahil olmak üzere birçok şirket, saldırı sırasında verilerinin çalındığını doğruladı.
Bu, bilgisayar korsanlarının diğer şirketlerin bulut veritabanlarının anahtarlarını elinde bulunduran şirketleri hedef aldığı bir dizi geniş ölçekli saldırının sonuncusu. Bilgisayar korsanları, Klue gibi firmaları ihlal ederek, tek bir hata noktasını tehlikeye atmanın, aynı anda çok sayıda kuruluştan veri çalmalarına olanak sağlayacağına bahse giriyor. Yalnızca geçtiğimiz yıl boyunca bilgisayar korsanları, yüzlerce şirketin verilerine erişim sağlamak için Gainsight ve Salesloft gibi benzer ara yazılım sağlayıcılarını giderek daha fazla hedef aldı.
Klue, bilgisayar korsanlarının, müşterilerin şirketlerinin bulut verilerini Klue hesaplarına bağlamasına olanak tanıyan bir entegrasyon aracıyla ilişkili şifre veya jeton gibi "güvenliği ihlal edilmiş eski kimlik bilgilerini" kullanarak 12 Haziran'da şirketin sistemlerine erişim sağladığını söyledi.
Bilgisayar korsanları, Salesforce veritabanları gibi Klue'nun müşteri bulutlarından veri çalmayı başardılar. Şirketler genellikle müşterilerinin kişisel bilgilerini Salesforce veritabanlarında saklıyor ve bu da bunları birincil hedef haline getiriyor.
Etkilenen çeşitli şirketlere göre, çalınan verilerin çoğu, adlar, e-posta adresleri, telefon numaraları, iş unvanları ve müşterilerinin bazı hesap bilgileri gibi ticari iletişim bilgilerini içeriyor.
Bilgisayar korsanlarının ele geçirilen kimlik bilgilerini nasıl elde ettiği veya Klue'nun hırsızlığı neden daha erken tespit etmediği belli değil. Snowflake ve TanStack'te olduğu gibi kimlik bilgilerinin ele geçirilmesini ve kötüye kullanılmasını içeren yakın tarihli benzer toplu saldırılar, çalışanların iş için kullandıkları cihazlara yanlışlıkla şifre çalan kötü amaçlı yazılım yüklemeleriyle ilişkilendirildi.
Klue, olaya müdahale şirketi CrowdStrike'ı aradığını ve müşterilerin verilerine daha fazla erişimi önlemek için entegrasyonların bağlantısını kestiğini söyledi.
TechCrunch Pazartesi günü iletişime geçtiğinde Klue CEO'su Jason Smith, yorum talebine hemen yanıt vermedi veya şirketin bilgisayar korsanlarından fidye talebi gibi herhangi bir iletişim alıp almadığı da dahil olmak üzere olayla ilgili soruları yanıtlamadı.
Hack sırasında verileri çalınan güvenlik şirketlerinden biri olan Huntress, olayla ilgili yazısında, hackerların, sunucuları muhtemelen kampanya için kötüye kullanılan Avustralyalı bir şirketin e-posta adresini kullanarak bir fidye notu ile iletişime geçtiklerini söyledi.
Geçtiğimiz Haziran ayında Klue, yapay zeka yatırımlarını ikiye katlayarak personelinin yaklaşık yarısını, yani yaklaşık 100 kişiyi işten çıkarmaya hazırlandığını açıklamıştı. Personeldeki azalmanın şirkette güvenlik kesintilerine yol açıp açmadığı belli değil. Şirketteki siber güvenlikten Smith dışında kimin sorumlu olduğu belli değil.
Klue şu anda yönetici liderlik sayfasında siber güvenliği denetleyen bir kişiyi listelemiyor.
Klue siber saldırısı hakkında daha fazla bilginiz var mı? İhlalden etkilenen bir şirket misiniz? Sizden haber almayı çok isteriz. Zack Whittaker ile güvenli bir şekilde iletişime geçmek için Signal kullanıcı adı zackwhittaker.1337 veya e-posta yoluyla ulaşın: [email protected].