Un groupe de hackers s’est attribué le mérite d’une faille chez le fournisseur d’informations commerciales Klue, qui a permis aux pirates de voler des flux de données aux entreprises clientes de l’entreprise, parmi lesquelles figurent certains des plus grands noms de la cybersécurité.
Klue, basée à Vancouver, qui permet aux entreprises de réaliser des études de marché en connectant leurs données à ses systèmes, a déclaré vendredi que des pirates informatiques avaient volé les données d’un nombre indéterminé de ses clients lors d’une cyberattaque une semaine plus tôt. (Le blog contient le code « noindex », qui indique aux moteurs de recherche de ne pas répertorier la page dans les résultats de recherche.)
Le groupe de cybercriminalité Icarus s’est attribué le mérite de cette violation, affirmant sur son site de fuite qu’il publierait les données volées lundi si l’entreprise ne payait pas la rançon des pirates.
Klue n’a pas précisé combien de ses centaines de clients sont concernés. Plusieurs entreprises ont confirmé que des données avaient été volées lors de l’attaque, notamment Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social et Tanium.
Il s’agit du dernier d’une série de piratages à grande échelle dans lesquels les pirates ciblent les entreprises qui détiennent les clés des bases de données cloud d’autres entreprises. En piratant des entreprises comme Klue, les pirates parient que la compromission d’un point de défaillance unique leur permettra de voler les données d’un grand nombre d’organisations à la fois. Au cours de la seule année écoulée, les pirates ont de plus en plus ciblé des fournisseurs de middleware similaires, notamment Gainsight et Salesloft, pour accéder à des centaines de données d’entreprises.
Klue a déclaré que des pirates avaient accédé aux systèmes de l’entreprise le 12 juin en utilisant un « identifiant hérité compromis », tel qu’un mot de passe ou un jeton, associé à un outil d’intégration qui permet aux clients de lier les données cloud de leur entreprise à leurs comptes Klue.
Les pirates ont réussi à voler des données dans les cloud clients de Klue, comme les bases de données Salesforce. Les entreprises stockent souvent les informations personnelles de leurs clients dans des bases de données Salesforce, ce qui en fait une cible privilégiée.
La plupart des données volées comprennent des informations de contact professionnel, telles que des noms, des adresses e-mail, des numéros de téléphone, des titres de poste et certaines informations sur les comptes de leurs clients, selon les différentes entreprises concernées.
On ne sait pas comment les pirates ont acquis les informations d’identification compromises, ni pourquoi Klue n’a pas détecté le vol plus tôt. Des piratages massifs similaires impliquant la compromission et l’utilisation abusive des informations d’identification, comme chez Snowflake et TanStack, ont été associés à des employés installant par inadvertance des logiciels malveillants de vol de mots de passe sur les appareils qu’ils utilisent pour leur travail.
Klue a déclaré avoir fait appel à la société de réponse aux incidents CrowdStrike et avoir déconnecté ses intégrations pour empêcher tout accès ultérieur aux données des clients.
Lorsqu’il a été contacté par TechCrunch lundi, le PDG de Klue, Jason Smith, n’a pas immédiatement répondu à une demande de commentaire ni répondu aux questions sur l’incident, notamment si l’entreprise a reçu des communications des pirates informatiques, comme une demande de rançon.
Huntress, l’une des sociétés de sécurité dont les données ont été volées lors du piratage, a déclaré dans son rapport sur l’incident que les pirates l’avaient contactée avec une demande de rançon en utilisant l’adresse e-mail d’une société australienne, dont les serveurs ont probablement été utilisés à mauvais escient pour la campagne.
En juin dernier, Klue a annoncé qu’elle se préparait à licencier environ la moitié de son personnel, soit environ 100 personnes, alors qu’elle doublait ses investissements dans l’IA. Il n’est pas clair si la réduction du personnel a entraîné des failles dans la sécurité de l’entreprise. On ne sait pas clairement qui, au-delà de Smith, est responsable de la cybersécurité au sein de l’entreprise.
Klue ne répertorie actuellement aucune personne supervisant la cybersécurité sur sa page de direction exécutive.
En savez-vous plus sur la cyberattaque Klue ? Êtes-vous une entreprise concernée par la violation ? Nous aimerions avoir de vos nouvelles. Pour contacter Zack Whittaker en toute sécurité, contactez-nous via le nom d’utilisateur Signal zackwhittaker.1337 ou par e-mail : [email protected].
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
