La société d’études de marché Klue a confirmé qu’un identifiant datant de 2022, qui faisait partie d’un projet pilote limité, avait été utilisé par des pirates informatiques au début du mois pour voler des quantités de données à ses entreprises clientes, dont plusieurs sociétés de cybersécurité.
Le nouveau détail suggère que Klue a peut-être eu des années pour mettre hors service l’identifiant utilisé pour le pilote, soulevant des questions sur la posture de sécurité de l’entreprise et sur les mesures qu’elle aurait pu prendre pour empêcher les violations des données de ses clients.
Le piratage de Klue, basé à Vancouver, détecté le 12 juin et divulgué pour la première fois vendredi dernier, a permis aux pirates informatiques de voler les données d’un certain nombre de ses clients, notamment le fabricant de gestionnaires de mots de passe LastPass et plusieurs autres sociétés de cybersécurité. Les pirates ont utilisé leur accès aux systèmes de Klue, qui stockent les clés – connues sous le nom de jetons OAuth – pour accéder aux données de leurs clients stockées dans d’autres cloud et bases de données, télécharger ces données et extorquer les entreprises.
La porte-parole de Klue, Katie Berg, a déclaré à TechCrunch que l’enquête menée jusqu’à présent par l’entreprise indique que les informations d’identification utilisées par les pirates informatiques pour voler les données des clients « ont été initialement fournies à un tiers en 2022, pour un projet pilote limité ».
Interrogé par TechCrunch, Klue n’a pas expliqué le but du pilote, sa durée d’exécution, ni identifié le tiers à qui l’entreprise a donné les informations d’identification. Klue n’a pas non plus expliqué pourquoi l’accréditation n’avait pas été révoquée après la conclusion du projet pilote.
Klue n’a pas répondu aux e-mails de suivi concernant l’incident avant la publication.
Des questions demeurent sur l’incident alors que l’entreprise affirme que son enquête se poursuit.
Klue n’a pas précisé quel type d’identifiant a été volé, déclarant seulement dans un article de blog qu’il s’agissait d’un « identifiant hérité associé à un service d’intégration ». Klue n’a pas non plus précisé si les informations d’identification étaient le nom d’utilisateur et le mot de passe d’un employé, par exemple, ou si l’entreprise pense que les informations d’identification ont été volées à un tiers plutôt qu’à ses propres systèmes.
Ces détails peuvent être cruciaux pour comprendre comment la violation a été réalisée et comment éviter un incident répété.
La déclaration de Klue à TechCrunch ajoute que la société « mène un examen complet de la gestion des informations d’identification, des contrôles d’accès des fournisseurs, des capacités de surveillance et des processus de sécurité de déploiement », sans plus de détails.
Un groupe de hackers appelé Icarus s’est attribué le mérite de la violation de son site de fuite de données et a publiquement menacé de divulguer les données volées si la rançon n’était pas payée.
Klue n’a pas précisé s’il avait eu des contacts avec les pirates informatiques ni s’il envisageait de payer leurs demandes.
En savez-vous plus sur la cyberattaque Klue ? Êtes-vous une entreprise concernée par la violation ? Nous aimerions avoir de vos nouvelles. Pour contacter Zack Whittaker en toute sécurité, contactez via Signal au nom d’utilisateur zackwhittaker.1337.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
