Una recente violazione della sicurezza ha colpito Klue, azienda specializzata in intelligence competitiva, esponendo dati CRM di clienti connessi a piattaforme come Salesforce. L'attacco è stato orchestrato sfruttando una credenziale obsoleta, risalente a un progetto pilota del 2022 e mai disattivata, che ha permesso agli aggressori di sottrarre token OAuth.
La scoperta dell'intrusione è avvenuta il 12 giugno, con la successiva divulgazione da parte del CEO di Klue, Jason Smith, il 19 giugno. Gli hacker hanno utilizzato la credenziale compromessa, associata a un servizio di integrazione, per ottenere i token OAuth.
Questi token, che Klue impiega per collegarsi a servizi di terze parti, sono stati poi usati per accedere e prelevare dati da numerosi ambienti cliente.
Dettagli dell'attacco e le conseguenze
Tra i clienti colpiti figurano importanti aziende di cybersecurity come Huntress e Recorded Future. I dati compromessi includono contatti aziendali, preventivi e comunicazioni di vendita dai loro account Salesforce. È stato confermato che password e dati di carte di pagamento non sono stati compromessi, limitando l'entità del furto a informazioni di natura commerciale e di contatto.
L'indagine condotta da Huntress ha rivelato che gli aggressori avevano introdotto un codice malevolo nel sistema di integrazione di Klue, specificamente progettato per raccogliere i token OAuth dei clienti.
Questo ha permesso l'accesso non autorizzato e la successiva esfiltrazione dei dati dai sistemi CRM.
Le misure adottate e i rischi futuri
In risposta all'incidente, Klue ha prontamente revocato le credenziali e i token compromessi, disabilitato le integrazioni interessate e notificato le forze dell'ordine. L'azienda ha inoltre avviato una revisione completa delle proprie pratiche di gestione delle credenziali, dei controlli di accesso dei fornitori e dei processi di sicurezza.
Anche Salesforce è intervenuta, disabilitando l'integrazione Klue Battlecards e avvertendo i clienti di non riconnettersi fino a nuovo avviso. L'azienda ha specificato che il problema era circoscritto alla connessione dell'app Klue e non derivava da una vulnerabilità della piattaforma Salesforce stessa.
L'episodio ha riacceso il dibattito sulla sicurezza dei token OAuth. Esperti di sicurezza, come ReliaQuest, hanno raccomandato alle organizzazioni di trattare l'incidente come un monito per revocare e ruotare tutti i token OAuth e i refresh token legati a tali integrazioni. È fondamentale anche esaminare i log API di Salesforce per volumi di query insoliti e restringere gli account di integrazione di terze parti a intervalli IP noti.
L'attacco è stato attribuito al gruppo di estorsione Icarus, che ha pubblicamente minacciato di rilasciare i dati rubati se le sue richieste di riscatto non verranno soddisfatte. Klue non ha fornito dettagli su eventuali contatti con gli hacker o sulla volontà di pagare il riscatto.
Questo incidente sottolinea la crescente minaccia rappresentata dall'abuso di token OAuth, una tattica già osservata in precedenti violazioni. Le aziende sono esortate a considerare qualsiasi app di terze parti con accesso OAuth come parte della propria superficie di attacco, implementando un inventario, un monitoraggio costante e l'applicazione del principio del minimo privilegio. Un approccio proattivo alla sicurezza informatica e una gestione rigorosa delle credenziali sono essenziali per proteggere i dati sensibili dei clienti in un panorama di minacce in continua evoluzione.