Weitere Sicherheitsfirmen melden Folgen des Klue-Lieferkettenangriffs

Zusammenfassung

Nach dem Angriff auf die Marktanalyseplattform Klue haben inzwischen mindestens neun betroffene Unternehmen die Auswirkungen öffentlich bestätigt. Der Vorfall ereignete sich am 11. und 12. Juni und traf Klues Integration mit Salesforce. Dadurch wurden nach Angaben des Unternehmens Daten aus den Salesforce-Instanzen mehrerer Klue-Kunden abgezogen, darunter auch mehrere Cybersicherheitsfirmen. Klue bestätigte am Freitag frühere Berichte, wonach die Angreifer kompromittierte Alt-Zugangsdaten nutzten, um auf seine Systeme zuzugreifen und die Salesforce-Integrationen zu kompromittieren. Laut Klue verschafften sich die Täter so OAuth-Token für die Anbindung an Drittplattformen, darunter Salesforce, und griffen anschließend auf Daten in einer Reihe verbundener Kundenumgebungen zu. Das Unternehmen erklärte zugleich, es gebe bislang keine Hinweise darauf, dass in der Klue-Plattform selbst gespeicherte Kundeninhalte betroffen waren. Die Ermittlungen laufen gemeinsam mit CrowdStrike und Strafverfolgungsbehörden.

Zu den bislang bekannten betroffenen Klue-Kunden zählen HackerOne, Huntress, Jamf, OneTrust, Recorded Future, Snyk und Tanium. Auch Insurity und Sprout Social informierten ihre Kunden über den Vorfall. Nach Angaben der betroffenen Unternehmen blieb der Einbruch auf die jeweiligen Salesforce-Instanzen beschränkt und betraf nicht ihre übrigen Systeme. Diese Darstellung entspricht auch Klues eigener Vorfallsmeldung.

Nach den veröffentlichten Angaben entwendeten die Angreifer aus den Salesforce-CRM-Systemen der betroffenen Organisationen Geschäftsinformationen. Dazu gehörten Vertriebs- und Kontodaten sowie geschäftliche Kontaktdaten wie Namen, E-Mail-Adressen, Berufsbezeichnungen, Telefonnummern und Geschäftsadressen.

Klue erklärte am Freitag, die Angreifer hätten kompromittierte Alt-Zugangsdaten genutzt, um Zugriff auf die eigenen Systeme zu erhalten. Mit diesem Zugang seien OAuth-Token abgegriffen worden, die Klue zur Verbindung mit bestimmten Drittplattformen einsetzt, darunter Salesforce. Anschließend sei auf Daten in mehreren verbundenen Kundenumgebungen zugegriffen worden. Als Reaktion widerrief Klue die betroffenen Zugangsdaten und Token und deaktivierte Integrationen über mehrere Dienste hinweg.

Nach bisherigem Stand der Untersuchung sei der Vorfall auf die betroffenen Drittplattformen begrenzt gewesen, teilte Klue mit. Hinweise darauf, dass in der Klue-Plattform gespeicherte Kundeninhalte betroffen waren, lägen nicht vor. Das Unternehmen untersucht den Angriff zusammen mit CrowdStrike und Strafverfolgungsbehörden.

Auch andere Anbieter reagierten auf den Vorfall. Salesforce deaktivierte die Klue-Integration nach dem Angriff. Die Revenue-Intelligence-Plattform Gong tat dies am Freitag ebenfalls und warnte, dass die Angreifer ihre Klue-Integration ausgenutzt hätten, um auf interne Daten lizenzierter Nutzer zuzugreifen. Gong erklärte, es gebe keine unmittelbaren Auswirkungen auf Gesprächsaufzeichnungen oder Kundentranskripte. Zu den eingesehenen Daten hätten unter anderem Benutzernamen, geschäftliche Berufsbezeichnungen und E-Mail-Adressen gehört.

In seiner Analyse des Vorfalls äußerte Huntress den Verdacht, dass ein Bedrohungsakteur namens Icarus hinter dem Angriff stehen könnte. Inzwischen hat Icarus Klue auf seiner über Tor erreichbaren Leak-Seite hinzugefügt, die Verantwortung für den Angriff reklamiert und damit gedroht, die aus den Salesforce-Instanzen der Klue-Kunden entwendeten Informationen zu veröffentlichen.

Nach den Beiträgen des Akteurs sollen die Daten am 22. Juni veröffentlicht werden, falls Klue und die betroffenen Organisationen keine Verhandlungen aufnehmen.

Weitere Sicherheitsfirmen melden Folgen des Klue-Lieferkettenangriffs

Ähnliche Artikel

Neueste Artikel