Pazar araştırma sağlayıcısı Klue, bu ayın başında yaşanan siber saldırıda birçok müşterisine ait büyük miktarda verinin çalınmasının ardından, saldırganlarla iletişim halinde olduğunu ve çalınan verilerin silindiğine inandığını açıkladı. TechCrunch'ın edindiği bilgilere göre, Klue müşterilerine gönderdiği özel bir güncellemede, 'Icarus' olarak bilinen tehdit aktörüyle iletişimlerinin sürdüğünü ve Icarus'un Klue müşterilerinden alınan verileri silmek için adımlar attığını belirtti. Icarus'un web sitesinin de erişime kapandığı ifade edildi.
Ancak durum son günlerde karmaşıklaştı. Klue'ye göre Icarus, ikinci bir hacker grubunun müşterilerine doğrudan şantaj yapmaya çalıştığını bildirdi. İkinci grup, kendi web sitesinde etkilenen şirketlerin bir listesini yayınlayarak, Klue'nun müşteri verilerini Icarus'tan doğrudan çaldıklarını iddia etti. Ayrıca, Klue'nun İngiltere'de yaşayan bir genç olduğu öne sürülen Icarus operatörüne fidye ödediğini iddia ettiler. TechCrunch, bu iddiaları bağımsız olarak doğrulayamadı.
İkinci hacker grubu, web sitelerinde 'Fidyeyi ödeyin, yoksa her şeyi sızdırırız' mesajı yayınladı ve toplamda 195 Klue müşterisinin etkilendiğini öne sürdü. Klue, müşterilerine gönderdiği güncellemede, Icarus'un diğer tarafın yalnızca bir kısmına ait örnek verilere sahip olduğunu, tüm verilere sahip olmadığını belirtti ve müşterilerini bu ikinci gruba ödeme yapmamaları konusunda uyardı. Klue, müşterilerine bu grupla iletişime geçmeleri ve rastgele veri örnekleri talep etmelerini önerdi.
Detaylar ve Etkileri
Bu olay, Klue'nun Haziran ayında yaşadığı veri ihlalinin ne kadar karmaşık ve tehlikeli boyutlara ulaştığını gösteriyor. Şirket, daha önce saldırganların 2022 yılına ait üçüncü taraf bir kimlik bilgisini kullanarak sistemlere girdiğini ve müşterilerin OAuth token'larını çalarak bulutlarına ve veritabanlarına eriştiğini açıklamıştı. Klue, bu kimlik bilgisinin neden dört yıl boyunca iptal edilmediği konusunda henüz detay vermedi.