Daftar korban pelanggaran Klue OAuth bertambah seiring klaim serangan peretas Icarus

Platform intelijen pasar Klue telah secara terbuka mengkonfirmasi insiden keamanan baru-baru ini yang memungkinkan pelaku ancaman mencuri token OAuth yang digunakan untuk terhubung ke lingkungan Salesforce pelanggan, ketika kelompok pemerasan “Icarus” yang baru secara terbuka mengklaim serangan tersebut.

Pengungkapan ini dilakukan setelah perusahaan keamanan siber Pemburu wanita Dan Pencarian Relia merinci bagaimana penyerang menyalahgunakan integrasi Klue Battlecards yang telah disusupi untuk mencuri data CRM Salesforce dari beberapa organisasi.

Dalam sebuah pernyataan yang diterbitkan minggu ini, CEO Klue Jason Smith mengonfirmasi bahwa perusahaan menemukan aktivitas tidak sah pada 12 Juni yang memengaruhi sebagian infrastruktur integrasi Klue.

“Pada tanggal 12 Juni, kami mengidentifikasi aktivitas tidak sah yang memengaruhi sebagian infrastruktur integrasi Klue. Sejak itu, kami telah bekerja sama dengan pakar keamanan siber tepercaya untuk memahami apa yang terjadi, mendukung pelanggan kami, dan memulihkan koneksi yang Anda andalkan,” tulis Smith.

“Penyelidikan kami menetapkan bahwa penyerang memperoleh akses melalui kredensial lama yang dikompromikan terkait dengan layanan integrasi. Penyerang menggunakan akses tersebut untuk mendapatkan token OAuth yang digunakan untuk menghubungkan Klue dengan platform pihak ketiga tertentu, termasuk Salesforce, dan kemudian mengakses data dalam sejumlah lingkungan pelanggan yang terhubung.”

Perusahaan mengatakan saat ini tidak ada bukti bahwa konten pelanggan yang disimpan langsung dalam platform Klue terkena dampaknya dan insiden tersebut terbatas pada integrasi pihak ketiga.

Klue mengatakan pihaknya segera mencabut kredensial dan token yang terkena dampak, menghapus kode tidak sah, menonaktifkan integrasi yang terkena dampak, meluncurkan penyelidikan, dan memberi tahu penegak hukum. Perusahaan juga mengonfirmasi bahwa mereka melibatkan CrowdStrike untuk membantu respons tersebut.

ReliaQuest dan Huntress menemukan bahwa penyerang menggunakan kredensial OAuth curian yang terkait dengan integrasi Klue untuk mengakses lingkungan Salesforce pelanggan dan melakukan pencurian data skala besar.

ReliaQuest mengamati penyerang membuat token OAuth dan menggunakan skrip Python untuk menanyakan API Salesforce dalam waktu lama, karena data dicuri.

Huntress kemudian mengungkapkan bahwa lingkungan Salesforce miliknya terpengaruh oleh pelanggaran Klue dan data yang dicuri termasuk kontak bisnis, komunikasi penjualan, informasi harga, dan catatan lainnya.

Icarus mengaku bertanggung jawab

Meskipun BleepingComputer dan Huntress sebelumnya mengaitkan insiden tersebut dengan operasi pemerasan Icarus, para pelaku ancaman kini secara terbuka mengaku bertanggung jawab atas situs kebocoran data mereka.

“Seperti yang mungkin sudah Anda dengar, Klue.com telah terkena dampak kami baru-baru ini. Sejumlah contoh Salesforce perusahaan lain, yang merupakan mitra Klue, dieksfiltrasi,” tulis postingan Icarus.

Pelaku ancaman kemudian menekan Klue dan organisasi yang terkena dampak untuk menghubungi mereka melalui platform pesan Session untuk mencegah kebocoran data yang dicuri.

Postingan tersebut muncul setelah BleepingComputer sebelumnya melaporkan bahwa serangan tersebut terkait dengan Icarus, setelah sumber membagikan email pemerasan yang dikirim ke organisasi yang terkena dampak. Huntress juga secara independen menghubungkan operasi tersebut ke Icarus melalui ID Session Messenger yang digunakan dalam email pemerasan dan situs kebocoran data grup.

Sejak itu, semakin banyak korban yang mengungkapkan bahwa mereka terkena dampak serangan tersebut, termasuk Masa Depan yang Tercatat, Tanium, Jamf, Kecambah Sosial, GongDan Asuransi.

Hampir semua mengatakan bahwa insiden tersebut menyebabkan pencurian data dari Salesforce mereka dan tidak memengaruhi platform, infrastruktur, informasi pembayaran, atau sistem internal mereka.

Beberapa organisasi memperingatkan bahwa informasi kontak bisnis yang dicuri dapat digunakan dalam kampanye phishing, rekayasa sosial, dan pemerasan lanjutan dan mendesak pelanggan untuk waspada.