Bu ayın başlarında siber suçluların birçok müşterisine ait çok sayıda veriyi çalmasına olanak tanıyan bir ihlal nedeniyle saldırıya uğrayan pazar araştırması sağlayıcısı Klue, bilgisayar korsanlarıyla iletişim kurduğunu söyledi. TechCrunch'ın öğrendiğine göre şirket ayrıca grubun çalınan verileri sildiğine inandığını da belirtti.
TechCrunch'ın birden fazla kaynaktan görüp doğruladığı, çarşamba gecesi müşterileriyle özel olarak paylaşılan bir güncellemede şirket, "İletişim halinde olduğumuz tehdit aktörüyle ('Icarus') iletişim kurmaya devam ediyoruz" diye yazdı. "Icarus bize Klue müşterilerinden alınan verileri silmek için adımlar attıklarını söyledi. Icarus sitesi kapalı durumda ve Icarus'un gerçekten de Klue müşterilerinden alınan verileri silmek için adımlar attığına dair göstergelerimiz var."
Pazartesi günü Klue, bilgisayar korsanlarının 12 Haziran'da sistemlerine sızdığını ve belirtilmeyen sayıda müşterisinden belirtilmeyen miktarda veri çaldığını doğruladı. O tarihten bu yana, aralarında Gong, Jamf, HackerOne, Huntress, Insurity, LastPass, OneTrust, Recorded Future, Snyk, Sprout Social ve Tanium'un da bulunduğu çok sayıda Klue müşterisi bu ihlalden etkilendiklerini doğruladı.
O sırada bilgisayar korsanlığı grubu Icarus, şirkete şantaj yapmak amacıyla Klue'yu çalınan müşterilerin verilerini yayınlamakla tehdit ediyordu.
Perşembe sabahı TechCrunch kontrol ettiğinde Icarus web sitesinin kapalı olduğu görülüyor ki bu da Klue'nin müşterilerine özel olarak söylediği şey.
Bize Ulaşın Klue ihlali hakkında daha fazla bilginiz var mı? Veya siber suç grubu Icarus hakkında mı? Sizden haber almayı çok isteriz. Çalışmayan bir cihazdan ve ağdan, +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram ve Keybase @lorenzofb veya e-posta yoluyla Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde iletişime geçebilirsiniz. Klue ihlali hakkında daha fazla bilginiz var mı? Veya siber suç grubu Icarus hakkında mı? Sizden haber almayı çok isteriz. Çalışmayan bir cihazdan ve ağdan Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram ve Keybase @lorenzofb aracılığıyla veya e-posta yoluyla güvenli bir şekilde iletişime geçebilirsiniz.
Bütün bunlar bir çözüme işaret ediyor gibi görünse de, hack son birkaç günde daha da karmaşık hale geldi. Klue'ye göre Icarus, şirkete, müşterilerini doğrudan şantaj yapmaya çalışan ikinci bir hacker çetesinin bulunduğunu söyledi.
İsimsiz bu çete, TechCrunch'ın da gördüğü gibi, etkilendiği iddia edilen şirketlerin bir listesini kendi web sitesinde yayınladı ve burada Klue'nin müşteri verilerini doğrudan Icarus'tan çaldıklarını iddia etti. Bilgisayar korsanları ayrıca Klue'nin "Birleşik Krallık'ta veya komşu ülkelerde yaşayan bir genç olan Icarus operatörüne" ödeme yaptığını da iddia etti. TechCrunch, Klue'nun Icarus'a ödeme yaptığına dair bağımsız bir doğrulama elde edemedi ve Icarus web sitesinin neden kapalı olduğunu da belirleyemedik. Bir Klue sözcüsü yorum talebine hemen yanıt vermedi.
Bilgisayar korsanlarına göre bu kişi, operatörün çalınan Klue'nin müşteri verilerini sakladığı sunucuya bağlanmasını sağlayacak bir hata yaptı.
Siber suçlular sitedeki bir mesajda, "Fidyeyi ödeyin, yoksa bize ödemezseniz her şeyi sızdıracağız" diye yazdı ve toplamda 195 Klue müşterisinin etkilendiğini iddia ettiler.
Perşembe günü müşterilere yaptığı güncellemede Klue şunları söyledi: "Icarus bize diğer tarafın tüm verilere değil, yalnızca müşterilerin bir alt kümesine ait veri örneklerine sahip olduğunu söyledi. Icarus bizden Klue müşterilerini bu diğer tarafa ödeme yapmamaları konusunda bilgilendirmemizi istedi."
Klue, bu ikinci grup bilgisayar korsanlarıyla temas halinde olan müşterilerine, bilgisayar korsanlarının sahip olduklarını iddia ettikleri verilere gerçekten sahip olduklarının kanıtı olarak rastgele bir veri örneği istemelerini önerdi.
Şirket daha önce bilgisayar korsanlarının sınırlı bir pilot uygulamanın parçası olan 2022 üçüncü taraf kimlik bilgilerini kullanarak müşterilerin verilerini çaldığını söylemişti. Bilgisayar korsanları daha sonra müşterilerin OAuth belirteçleri olarak bilinen kimlik doğrulama anahtarlarını çalmak ve bulutlarına ve veritabanlarına giriş yapmak için Klue'nun sistemlerine erişimlerini kullandı. Klue, çalınan bu kimlik bilgisi hakkında kime atandığı veya son dört yılda neden iptal edilmediği gibi daha fazla ayrıntı vermedi.
Güncelleme: Makale c eklendi
Müşterilerle özel olarak paylaşılan bir iletişimin TechCrunch tarafından görüntülendiğini ve birden fazla kaynak tarafından doğrulandığını açıklayan dil.
Düzeltme: Bu makalenin önceki bir versiyonu ReliaQuest'in Klue hackinin kurbanı olduğundan bahsetmişti. ReliaQuest aslında bir kurban değildi.