市场研究公司 Klue 在遭到名为“Icarus”的黑客组织攻击后,事态变得更加复杂。尽管 Klue 表示 Icarus 正在删除窃取的客户数据,但现在又出现了另一伙黑客,声称已从 Icarus 手中获得了这些数据,并开始直接向受影响的公司进行勒索,使原本看似趋于解决的事件再度升级。
最初的入侵与沟通
Klue 公司在 6 月 12 日确认其系统遭到入侵,导致多家客户的数据被盗。最初,黑客组织 Icarus 威胁要公开这些数据以勒索 Klue。然而,Klue 随后向客户表示,他们正在与 Icarus 进行沟通。
“Icarus 告诉我们,他们正在采取措施删除从 Klue 客户那里获取的数据。Icarus 的网站仍然处于关闭状态,我们有迹象表明他们确实在着手删除数据。”
尽管 Klue 未公布具体受影响的客户数量,但多家知名公司已确认受到影响,包括:
- Gong 和 Jamf
- HackerOne 和 Huntress
- LastPass 和 OneTrust
- Recorded Future 和 Snyk
新的威胁者出现
正当事态看似好转时,另一伙身份不明的黑客出现了,他们声称直接从 Icarus 手中获取了被盗的客户数据。这伙人建立了自己的网站,并直接向受影响的公司发出威胁。
“支付赎金,否则如果你不付钱,我们将泄露所有内容。”
这伙新的黑客声称,他们之所以能得手,是因为 Icarus 的一名操作员(据称是“一名居住在英国或邻近国家的青少年”)犯了错误,使他们能够连接到存放被盗数据的服务器。他们还宣称共有 195 家 Klue 客户受到影响。
对此,Klue 援引 Icarus 的说法,建议客户不要向这个新团伙支付赎金,因为他们 “只拥有部分客户的数据样本,而非全部数据”。Klue 建议收到勒索的公司要求对方提供随机数据样本,以验证其说法的真实性。
入侵是如何发生的
Klue 此前透露,黑客是利用一个 2022 年的第三方凭证侵入其系统的。攻击者利用这个入口窃取了客户的身份验证密钥(即 OAuth 令牌),从而进一步访问客户的云端和数据库。
目前,关于这个被利用的旧凭证为何在四年后仍然有效,以及 Klue 是否向 Icarus 支付了赎金等关键问题,官方尚未给出明确答复。