İş zekası sağlayıcısı Klue, 12 Haziran'da tespit edilen bir siber saldırıyla sarsıldı. CEO Jason Smith'in 19 Haziran'da yayımladığı resmi açıklamaya göre, saldırgan eski bir kimlik bilgisini kullanarak Klue'nin entegrasyon altyapısına, özellikle Klue Battlecards uygulamasına erişti. Buradan OAuth token'larını çalarak Klue'yi Salesforce gibi üçüncü taraf platformlara bağladı. Token'lar sayesinde şifre gerekmeden verilere erişen saldırgan, Klue müşteri verilerini ve bağlı Salesforce ortamlarındaki hassas bilgileri sızdırdı.
Klue, olayı fark eder etmez etkilenen kimlik bilgilerini ve token'ları iptal etti, yetkisiz kodları kaldırdı ve potansiyel olarak etkilenen entegrasyonları devre dışı bıraktı. Şirket ayrıca kolluk kuvvetlerine bildirimde bulundu, iç soruşturma başlattı ve adli bilişim için CrowdStrike'ı görevlendirdi. Salesforce da 17 Haziran'da Klue Battlecards entegrasyonunu devre dışı bıraktığını duyurdu.
Saldırıdan etkilenen şirketler arasında siber güvenlik devleri Huntress, Recorded Future, Jamf ve Tanium yer alıyor. Şirketler, kendi ürün ve hizmetlerinin etkilenmediğini belirtse de Huntress, müşteri verilerinin tehlikeye girmiş olabileceğini açıklad. Bu veriler arasında iş adları, denenmiş/kullanılmış ürünler, abonelik detayları, iletişim bilgileri ve pazarlama/satış yazışmaları bulunuyor. Jamf ise müşterilerini, çalınan Salesforce verilerini kullanan oltalama kampanyalarına karşı uyardı.
Recorded Future, Klue entegrasyonunu devre dışı bırakarak adli analiz yaptı ve üçüncü taraf entegrasyonların sürekli izlenmesinin kritik önemini vurguladı. ReliaQuest ise şüpheli etkinliği ilk tespit eden firma olarak Klue'yi uyardı, ancak kendilerinin Klue kullanmadığını ve etkilenmediğini belirtti. ReliaQuest, saldırganların OAuth token'larını kullanarak bir CRM'den diğerine geçiş yapabildiğine dikkat çekerek modern tehdit aktörlerinin gelişen taktiklerini gözler önüne serdi.
Siber güvenlik firmalarının yanı sıra sigorta hizmet sağlayıcısı Insurity ve sosyal medya analiz platformu Sprout Social da etkilenenler arasında. Saldırıyı, 19 Haziran'da yeni tanımlanan bir siber gasp grubu olan Icarus üstlendi. Ransomware.live verilerine göre Icarus'un sadece üç kurbanı bulunuyor. Grup, 20 Haziran'da Klue müşterilerine 22 Haziran'a kadar yanıt vermezlerse verilerini yayınlayacaklarını bildiren bir mesaj gönderdi.
Gelecekte Ne Bekleniyor?
Bu olay, OAuth token'larının güvenliğinin ne kadar kritik olduğunu bir kez daha gösterdi. Saldırganlar, eski bir kimlik bilgisiyle başlayıp token'ları ele geçirerek birden fazla şirketin CRM sistemine sızabildi. Şirketlerin üçüncü taraf entegrasyonları sıkı denetlemesi, token'ları düzenli olarak döndürmesi ve anormal etkinlikleri izlemesi hayati önem taşıyor. Ayrıca, eski kimlik bilgilerinin kullanımdan kaldırılması ve çok faktörlü kimlik doğrulama gibi ek güvenlik önlemleri alınması gerekiyor.
Kaynak: infosecurity-magazine.com