Nội dung bài viết
Một nhóm hack đã nhận công vì vi phạm tại nhà cung cấp thông tin thị trường Klue, cho phép tin tặc đánh cắp hàng loạt dữ liệu từ các khách hàng doanh nghiệp của công ty, bao gồm một số tên tuổi lớn nhất trong lĩnh vực an ninh mạng.
Klue có trụ sở tại Vancouver, nơi cho phép các công ty tiến hành nghiên cứu thị trường bằng cách kết nối dữ liệu của họ với hệ thống của mình, cho biết hôm thứ Sáu rằng tin tặc đã đánh cắp dữ liệu từ một số lượng khách hàng không xác định trong một cuộc tấn công mạng một tuần trước đó.
(Blog chứa mã “noindex”, thông báo cho các công cụ tìm kiếm không liệt kê trang này trong kết quả tìm kiếm.) Nhóm tội phạm mạng Icarus đã nhận trách nhiệm về hành vi vi phạm, cho biết trên trang web rò rỉ của mình rằng họ sẽ công bố dữ liệu bị đánh cắp vào thứ Hai nếu công ty không trả tiền chuộc cho tin tặc.
Klue chưa cho biết có bao nhiêu trong số hàng trăm khách hàng của mình bị ảnh hưởng. Một số công ty đã xác nhận rằng họ đã bị đánh cắp dữ liệu trong cuộc tấn công, bao gồm Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social và Tanium.
Đây là vụ mới nhất trong hàng loạt vụ hack quy mô rộng, trong đó tin tặc nhắm vào các công ty nắm giữ chìa khóa cơ sở dữ liệu đám mây của các công ty khác.
Bằng cách tấn công các công ty như Klue, tin tặc đang đặt cược vào Việc xâm phạm một điểm lỗi duy nhất sẽ cho phép chúng đánh cắp dữ liệu từ một số lượng lớn các tổ chức cùng một lúc.
Chỉ trong năm qua, tin tặc ngày càng nhắm mục tiêu vào các nhà cung cấp phần mềm trung gian tương tự, bao gồm Gainsight và Salesloft, để giành quyền truy cập vào dữ liệu của hàng trăm công ty.
Klue cho biết tin tặc đã giành được quyền truy cập vào hệ thống của công ty vào ngày 12 tháng 6 bằng cách sử dụng “thông tin xác thực kế thừa bị xâm phạm”, chẳng hạn như mật khẩu hoặc mã thông báo, được liên kết với một công cụ tích hợp cho phép khách hàng liên kết dữ liệu đám mây của công ty họ với tài khoản Klue của họ.
Tin tặc có thể đánh cắp dữ liệu từ đám mây khách hàng của Klue, chẳng hạn như cơ sở dữ liệu Salesforce. Các công ty thường lưu trữ thông tin cá nhân của khách hàng trong cơ sở dữ liệu Salesforce, coi đây là mục tiêu hàng đầu.
Theo các công ty bị ảnh hưởng, phần lớn dữ liệu bị đánh cắp bao gồm thông tin liên hệ của doanh nghiệp, như tên, địa chỉ email, số điện thoại, chức danh công việc và một số thông tin tài khoản của khách hàng.
Không rõ bằng cách nào mà tin tặc có được thông tin đăng nhập bị xâm phạm hoặc tại sao Klue không phát hiện hành vi trộm cắp sớm hơn.
Các vụ hack hàng loạt tương tự gần đây liên quan đến việc xâm phạm và lạm dụng thông tin đăng nhập, chẳng hạn như tại Snowflake và Tanstack, ha có liên quan đến việc nhân viên vô tình cài đặt phần mềm độc hại đánh cắp mật khẩu trên thiết bị mà họ sử dụng cho công việc.
Klue cho biết họ đã gọi cho công ty ứng phó sự cố CrowdStrike và đã ngắt kết nối các tiện ích tích hợp của công ty này để ngăn chặn việc truy cập thêm vào dữ liệu của khách hàng.
Khi được TechCrunch liên hệ vào thứ Hai, Giám đốc điều hành Klue Jason Smith đã không trả lời ngay lập tức yêu cầu bình luận hoặc trả lời các câu hỏi về vụ việc, bao gồm cả việc liệu công ty có nhận được bất kỳ thông tin liên lạc nào từ tin tặc hay không, chẳng hạn như yêu cầu tiền chuộc.
Huntress, một trong những công ty bảo mật bị đánh cắp dữ liệu trong vụ hack, cho biết trong báo cáo về vụ việc rằng tin tặc đã liên hệ với họ để đưa ra thông báo đòi tiền chuộc bằng địa chỉ email của một công ty Úc, máy chủ của họ có thể đã bị lạm dụng cho chiến dịch này.
Tháng 6 năm ngoái, Klue cho biết họ đang chuẩn bị sa thải khoảng một nửa số nhân viên của mình, khoảng 100 người, khi họ tăng gấp đôi khoản đầu tư vào AI của mình. Không rõ liệu việc cắt giảm nhân sự có dẫn đến mất an ninh tại công ty hay không.
Không rõ ai, ngoài Smith, chịu trách nhiệm về an ninh mạng tại công ty. Klue hiện không liệt kê người giám sát an ninh mạng trên trang lãnh đạo điều hành của mình.
Bạn có biết thêm không về vụ tấn công mạng Klue? Bạn có phải là công ty bị ảnh hưởng bởi vi phạm?
Chúng tôi rất mong nhận được phản hồi từ bạn. Để liên hệ với Zack Whittaker một cách an toàn, hãy liên hệ qua tên người dùng Signal zackwhittaker.1337 hoặc qua email: [email protected] .
Khi bạn mua hàng thông qua các liên kết trong bài viết của chúng tôi, chúng tôi có thể kiếm được một khoản hoa hồng nhỏ. Điều này không ảnh hưởng đến tính độc lập biên tập của chúng tôi.
Zack Whittaker là biên tập viên bảo mật tại TechCrunch. Ông cũng là tác giả của bản tin an ninh mạng hàng tuần, tuần này về bảo mật.
Có thể liên hệ với anh ấy qua tin nhắn được mã hóa tại zackwhittaker.1337 trên Signal. Bạn cũng có thể liên hệ với anh ấy qua email hoặc để xác minh khả năng tiếp cận tại [email protected].
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.