Un gruppo di hacker ha rivendicato la responsabilità di una violazione ai danni della piattaforma di intelligence di mercato Klue, che avrebbe portato al furto di grandi quantità di dati appartenenti ai suoi clienti corporate, tra cui alcune delle principali aziende mondiali della cybersecurity.
La società, con sede a Vancouver, ha confermato che un attacco informatico avvenuto circa una settimana prima ha consentito l’esfiltrazione di dati da un numero non specificato di clienti.
Il gruppo Icarus e la minaccia del “leak”
Il gruppo criminale Icarus ha rivendicato l’attacco, dichiarando nel proprio sito di “leak” che pubblicherà i dati rubati se l’azienda non pagherà il riscatto richiesto entro lunedì.
Tra le aziende coinvolte che hanno confermato il furto di dati figurano nomi di primo piano del settore tecnologico e della sicurezza informatica, tra cui Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social e Tanium.
Come è avvenuto l’attacco
Secondo quanto riferito da Klue, gli hacker sarebbero entrati nei sistemi il 12 giugno sfruttando una “credenziale compromessa” legata a un vecchio strumento di integrazione utilizzato per collegare i dati dei clienti al sistema della piattaforma.
Attraverso questo accesso, gli attaccanti sarebbero riusciti a estrarre dati dai sistemi cloud dei clienti, inclusi database Salesforce, spesso utilizzati per conservare informazioni sensibili su contatti e clienti.
Le informazioni sottratte includono principalmente dati di contatto aziendali come nomi, email, numeri di telefono, ruoli professionali e alcune informazioni sugli account.
Un attacco alla catena di fornitori
L’incidente si inserisce in una tendenza crescente di attacchi informatici mirati ai fornitori di servizi intermedi, considerati un punto di accesso privilegiato ai dati di molte aziende contemporaneamente.
Negli ultimi mesi casi simili hanno coinvolto altri provider come Gainsight e Salesloft, evidenziando la vulnerabilità delle infrastrutture cloud basate su integrazioni multiple e credenziali condivise.
La risposta dell’azienda e le incognite aperte
Klue ha dichiarato di aver coinvolto la società di incident response CrowdStrike e di aver disattivato le integrazioni compromesse per prevenire ulteriori accessi non autorizzati.
Resta però ancora poco chiaro come le credenziali siano state sottratte e perché la violazione non sia stata individuata prima. L’azienda non ha inoltre fornito dettagli sul numero complessivo dei clienti coinvolti né sulle eventuali richieste di riscatto ricevute.
Il CEO Jason Smith non ha rilasciato commenti aggiuntivi quando contattato, mentre alcune aziende colpite hanno confermato di aver ricevuto comunicazioni dagli hacker nell’ambito della campagna di estorsione.
Un contesto di ristrutturazioni e rischi
L’attacco arriva in un momento delicato per Klue, che già lo scorso anno aveva annunciato un piano di riduzione del personale e una maggiore focalizzazione sugli investimenti in intelligenza artificiale.
Un elemento che riaccende il dibattito sulla sicurezza delle infrastrutture digitali e sulla gestione delle credenziali in ambienti cloud sempre più interconnessi.
