Icarus weitet Datendiebstähle über Salesforce und Klue auf weitere Firmen aus

Zusammenfassung

Die Serie von Datendiebstählen rund um Salesforce greift auf weitere Technologie- und Cybersicherheitsunternehmen über. Ausgelöst wurde der Vorfall durch eine Kompromittierung beim App-Anbieter Klue: Salesforce kappte daraufhin die Integration mit Klues Battlecards-Anwendung. Danach bestätigten mehrere betroffene Unternehmen, dass Daten aus ihren Salesforce-Instanzen abgeflossen sind. Die Erpressergruppe Icarus reklamierte die Angriffe für sich und kündigte weitere Opfer an. Zu den inzwischen offengelegten Fällen zählt auch LastPass. Nach Angaben des Unternehmens griffen die Angreifer auf Kundendaten in seiner Salesforce-Instanz zu; Produkte, Dienste und Infrastruktur seien jedoch nicht betroffen, und die Kundentresore blieben sicher. Auch andere Firmen wie HackerOne, Recorded Future, Jamf, Snyk, OneTrust, Insurity, Tanium und Sprout Social meldeten kompromittierte Salesforce-Daten. Zudem erklärte Gong, dass bei einem Teil seiner Kunden über die Klue-Integration möglicherweise interne lizenzierte Nutzerdaten eingesehen wurden. Der Fall betrifft damit nicht nur klassische CRM-Daten, sondern auch Informationen aus angeschlossenen Drittanwendungen.

Öffentlich bekannt wurde die Angriffswelle, als Salesforce am 17. Juni die Integration mit Klues Battlecards-Anwendung deaktivierte, nachdem es bei dem App-Anbieter zu einer Kompromittierung gekommen war. Huntress war laut Bericht das erste Unternehmen, das öffentlich einräumte, dass seine Salesforce-Daten betroffen sind. Icarus übernahm die Verantwortung für die Angriffe und stellte weitere betroffene Unternehmen in Aussicht.

Inzwischen haben mehrere Firmen eigene Offenlegungen veröffentlicht. LastPass teilte in einem Blogbeitrag mit, dass Angreifer auf Kundendaten innerhalb der Salesforce-Instanz des Passwortmanagers zugegriffen hätten. Zugleich betonte das Unternehmen, Produkte, Dienste und Infrastruktur seien unberührt geblieben, und „die Kundentresore bleiben sicher“. LastPass erklärte außerdem, dass Klues Marktinformationsplattform zwar mit den eigenen Gong-Systemen verbunden gewesen sei, es aber „keine Hinweise darauf gibt, dass der Bedrohungsakteur auf Gong-bezogene Daten zugegriffen hat“.

Wie andere betroffene Organisationen kappte LastPass nach eigenen Angaben umgehend alle Unternehmenszugänge zu Klue, tauschte offengelegte API-Zugangs-Token aus und leitete eine Untersuchung ein. Weitere offengelegte Fälle betreffen HackerOne, Recorded Future, Jamf, Snyk, OneTrust, Insurity, Tanium und Sprout Social.

Dass die Angreifer womöglich mehr als nur Salesforce-Instanzen erreichten, zeigt die Stellungnahme von Gong. Das Unternehmen schrieb in einem Blogbeitrag vom Freitag, Angreifer könnten bei einem Teil der Gong-Kunden, die die Klue-Integration nutzten, auf „interne lizenzierte Nutzerdaten“ zugegriffen haben. Nach Angaben von Gong gehören dazu Benutzernamen, geschäftliche Funktionsbezeichnungen und E-Mail-Adressen von Nutzern. Gong stellte klar: „Zur Klarstellung: Dies war ein Vorfall, der beim Drittintegrator Klue seinen Ursprung hatte. Es handelte sich nicht um eine direkte Kompromittierung von Gongs eigenen Produkten oder Systemen.“ Betroffen seien Kunden gewesen, die Klue mit Gong verbunden hatten. Direkte Auswirkungen auf Anrufaufzeichnungen oder Transkripte habe Gong nicht festgestellt.

Zusätzlich teilte Gong mit, Klue habe dem Unternehmen vier verdächtige IP-Adressen übermittelt, die daraufhin blockiert wurden. Nach der Untersuchung der Aktivitäten zu diesen IP-Adressen kam Gong zu dem Schluss, dass einige Kundendaten kompromittiert wurden.

Der Vorfall weckt auch deshalb Aufmerksamkeit, weil frühere Salesforce-Angriffe im vergangenen Jahr, die mit der Kompromittierung des Drittanbieters Salesloft verknüpft waren, teils sensible Zugangsdaten in den betroffenen Instanzen offenlegten. Cloudflare fand damals nach eigenen Angaben 104 API-Token in seiner Salesforce-Instanz; sie steckten in Dateien aus Support-Fällen und wurden umgehend ausgetauscht. Vor diesem Hintergrund prüfen die von Icarus betroffenen Unternehmen offenbar genau, ob neben typischen CRM-Daten auch weitere sensible Informationen offengelegt wurden.

HackerOne verwies in seiner Offenlegung auf „strenge Richtlinien und Kontrollen zur Datensegmentierung“, die verhindern sollen, dass Kundendaten zu Schwachstellen in den CRM-Systemen landen. Zudem habe die vorläufige forensische Untersuchung „keinen Hinweis darauf ergeben, dass auf solche Daten zugegriffen wurde“.

Auf seiner Leak-Seite im Darknet hatte Icarus Klue-Kunden zuvor eine Frist bis Montag gesetzt, um Kontakt mit der Erpressergruppe aufzunehmen. Danach begann die Gruppe, Daten betroffener Organisationen zu veröffentlichen, wobei Firmennamen teilweise geschwärzt waren. Zum Zeitpunkt der Berichterstattung waren dort sechs Klue-Kunden gelistet.

Huntress bestätigte in einem Update vom Montag, dass die von Icarus veröffentlichten Daten dem zuvor durch die eigene Untersuchung bestimmten Umfang entsprächen. Nach Angaben des Sicherheitsanbieters wurden keine Produkte, keine Infrastrukturdaten, keine Telemetrie, keine Passwörter und keine Zahlungskarteninformationen abgerufen. Die bei Huntress betroffenen Dateien beschränkten sich demnach auf Salesforce-Daten, darunter geschäftliche Kontaktinformationen wie vollständige Namen, berufliche E-Mail-Adressen, Stellenbezeichnungen, Telefonnummern und Geschäftsadressen, außerdem Firmennamen, getestete oder genutzte Produkte, Abonnementdetails sowie vertriebsbezogene Kommunikation und Notizen zu Verkaufschancen.

Icarus weitet Datendiebstähle über Salesforce und Klue auf weitere Firmen aus

Ähnliche Artikel

Neueste Artikel