Pazar araştırma firması Klue, bu ayın başlarında siber suçluların birkaç müşterisine ait verileri çalmak amacıyla sistemlerine sızdığı bir saldırıya uğradı. Şirket, saldırganlarla iletişim kurmaya devam ettiklerini belirtti. Ayrıca, siber saldırgan grubunun çalınan verileri silmekte olduğu yönünde inançları olduğunu ifade etti.
Şirket, müşterilerine özel olarak paylaştığı güncellemelerde, “İletişim kurduğumuz tehdit aktörü (Icarus) ile iletişimde kalmaya devam ediyoruz,” açıklamasını yaptı. “Icarus, Klue müşterilerinden çalınan verileri silmek için adımlar attıklarını söyledi. Icarus’un sitesi hala kapalı durumda ve çalınan verilerin silinmesi için adımlar attığına dair işaretlerimiz var.”
Klue, 12 Haziran’da sistemlerine giren siber saldırganların, belirli miktarda veri çaldığını doğruladı. O tarihten bu yana birkaç Klue müşterisi, saldırıdan etkilendiklerini doğruladı. Etkilenenler arasında Gong, Jamf, HackerOne, Huntress, Insurity, LastPass, OneTrust, Recorded Future, ReliaQuest, Snyk, Sprout Social, ve Tanium yer alıyor.
Saldırı sırasında Icarus grubunun, Klue’yu çalınan müşteri verilerini yayımlamakla tehdit ettiği belirtildi.
Perşembe sabahı kontrol edildiğinde, Icarus web sitesinin kapalı olduğu gözlemlendi. Klue de bu durumu müşterilerine özel olarak bildirerek doğruladı.
Bize Ulaşın
Klue saldırısı hakkında daha fazla bilginiz var mı? Veya Icarus siber suç grubu hakkında? Sizden haber almak isteriz. İş dışı bir cihaz ve ağ kullanarak, Lorenzo Franceschi-Bicchierai’ye Signal üzerinden +1 917 257 1382 numarasından güvenli bir şekilde ulaşabilir, veya Telegram ve Keybase üzerinden @lorenzofb ile irtibat kurabilirsiniz.
Tüm bu gelişmeler bir çözüm işaret etse de, son birkaç günde durum daha karmaşık hale geldi. Klue’ya göre, Icarus, şirketin müşterilerini doğrudan zorlamak için başka bir hacker grubunun olduğunu bildirdi.
Bu isimsiz grup, TechCrunch’ın gördüğü bir web sitesinde, Klue’nun çalınan müşteri verilerini doğrudan Icarus’tan aldığını iddia ederek etkiledikleri şirketlerin bir listesini yayınladı. Aynı zamanda, Klue’nun bir “Icarus operatörüne” ödeme yaptığını, bu kişinin Birleşik Krallık veya komşu ülkelerde yaşayan bir genç olduğunu öne sürdüler. Klue’nun Icarus’a bir ödeme yaptığını doğrulamak için bağımsız bir doğrulama elde edilemedi. Klue sözcüsü bu konuda hemen bir yanıt vermedi.
Hackerların iddialarına göre, bu kişi, çalınan Klue müşteri verilerinin saklandığı sunucuya bağlanmalarına olanak tanıyan bir hata yaptı.
“Fidyeyi ödeyin veya ödemediğiniz takdirde her şeyi ifşa edeceğiz,” siber suçlular, web sitesinde toplam 195 Klue müşterisinin etkilendiğini iddia ederek yazdı.
Klue, Perşembe günü müşterilerine yaptığı güncellemelerde, “Icarus, diğer tarafın sadece bazı müşterilere ait verilerin örneklerine sahip olduğunu, tüm verilere sahip olmadığını söyledi. Icarus, Klue müşterilerinin bu diğer tarafa ödeme yapmamalarını istedi.” açıklamasında bulundu.
Klue, bu ikinci hacker grubuyla iletişimde olan müşterilerine, bu hackerların iddia ettikleri verilerin gerçekten kendilerine ait olduğunu kanıtlamak amacıyla rasgele bir veri örneği istemelerini önerdi.
Şirket daha önce, hackerların 2022 yılında sınırlı bir pilot uygulama sırasında kullanılan üçüncü taraf kimlik bilgilerini elde ederek müşterilerin verilerine eriştiğini belirtmişti. Ardından, Klue’nun sistemlerine sızarak, müşterilerin kimlik doğrulama anahtarlarını – bilinen adıyla OAuth token’larını – çaldılar ve bulutlarına ve veritabanlarına giriş yaptılar. Klue, çalınan bu kimlik bilgileri hakkında daha fazla detay vermedi.
Makalelerimizdeki bağlantılar üzerinden gerçekleşen alışverişlerden, küçük bir komisyon kazanabiliriz. Bu, editoryal bağımsızlığımızı etkilemez.
