LastPass-ის განცხადებით, ჰაკერებმა Klue-ს მიწოდების ჯაჭვის დარღვევისას მომხმარებელთა მონაცემები მოიპარეს

LastPass-მა განაცხადა, რომ ჰაკერებმა Klue-ს მიწოდების ჯაჭვის დარღვევის გზით წვდომა მიიღეს მომხმარებელთა პერსონალურ ინფორმაციასა და მხარდაჭერის საქმეების მონაცემებზე, თუმცა პაროლების საცავები არ დაზიანებულა.techcrunch
თავდასხმამ, რომელიც მიეწერება გამომძალველთა ჯგუფ Icarus-ს, გამოიყენა მოძველებული რწმუნებათა სიგელი Klue-ს Salesforce ↗2.20%-თან ინტეგრაციიდან OAuth ტოკენების მოსაპოვებლად 11 ივნისს.securityweek
The Register-ის თანახმად, ისეთმა ფირმებმა, როგორებიცაა Huntress, Recorded Future, Tanium, Jamf, HackerOne და Snyk, ასევე გაამხილეს CRM მონაცემების ქურდობა იმავე დარღვევის შედეგად.theregister

Klue-ს მიწოდების ჯაჭვის თავდასხმამ კიბერუსაფრთხოების ფირმებში Salesforce-ის მონაცემები გაამჟღავნა

ბაზრის ანალიტიკურ პლატფორმა Klue-ზე მიწოდების ჯაჭვის თავდასხმამ კომპანიების მზარდ სიაში, მათ შორის მრავალ კიბერუსაფრთხოების კომპანიაში, Salesforce-ის მონაცემები დააზიანა, მას შემდეგ რაც ახლად წარმოქმნილმა გამომძალველმა ჯგუფმა Icarus-მა გამოიყენა მოპარული მოძველებული რწმუნებათა სიგელი პლატფორმის ინტეგრაციის ინფრასტრუქტურიდან OAuth ტოკენების მოსაპოვებლად.

როგორ განვითარდა თავდასხმა

დარღვევა დაიწყო 2026 წლის 11 ივნისს, როდესაც თავდამსხმელებმა გამოიყენეს კომპრომეტირებული მოძველებული რწმუნებათა სიგელი Klue-ს სერვერებზე წვდომისთვის და გაავრცელეს მავნე კოდის განახლება, რომელიც შექმნილი იყო მომხმარებელთა ინტეგრაციებთან დაკავშირებული OAuth ტოკენების შესაგროვებლად. Klue-მ არაავტორიზებული აქტივობა 12 ივნისს გამოავლინა და დაუყოვნებლივ გააუქმა OAuth ტოკენები ყველა მომხმარებლისთვის, რითაც გათიშა ინტეგრაციები Salesforce-თან, HubSpot-თან, SharePoint-თან, Zoom-თან, Gong-თან, Google Drive-თან და Slack-თან.securityweek

კიბერუსაფრთხოების ფირმა ReliaQuest-ის თანახმად, თავდამსხმელებმა ბოროტად გამოიყენეს Salesforce REST API 24-საათიან ფანჯარაში CRM მონაცემების დიდი მოცულობის გამოსატანად, მათ შორის „თითქმის ათასი მოთხოვნის კონცენტრირებული აფეთქება 15 წუთში და მონაცემთა მდგრადი ექსტრაქცია, რომელიც 6 საათზე მეტხანს გაგრძელდა“. Salesforce-მა დაადასტურა, რომ პრობლემა შემოიფარგლებოდა Klue-ს აპლიკაციის კავშირით და არ მომდინარეობდა თავად Salesforce-ის პლატფორმის დაუცველობიდან, რის გამოც 17 ივნისს Klue Battlecards-ის ინტეგრაცია გათიშა.salesforceben

მსხვერპლები კიბერუსაფრთხოების ინდუსტრიაში

დაზარალებულ ორგანიზაციათა სია სწრაფად გაიზარდა. Huntress, Recorded Future, Tanium, Jamf, HackerOne, Kudelski Security, Snyk, Insurity და Sprout Social – ყველამ გაამხილა, რომ CRM მონაცემებზე წვდომა მოხდა კომპრომეტირებული ინტეგრაციის საშუალებით. Klue-ს აღმასრულებელმა დირექტორმა ჯეისონ სმიტმა 20 ივნისს ბლოგპოსტში აღიარა თავდასხმა და განაცხადა, რომ „თავდამსხმელმა წვდომა მოიპოვა ინტეგრაციის სერვისთან დაკავშირებული კომპრომეტირებული მოძველებული რწმუნებათა სიგელის საშუალებით“ და გამოიყენა იგი Klue-სა და მესამე მხარის პლატფორმებს შორის დამაკავშირებელი OAuth ტოკენების მისაღებად.theregister

LastPass-მაც დაადასტურა, რომ დაზარალდა. კომპანიამ ბლოგპოსტში განაცხადა, რომ ჰაკერებმა წვდომა მიიღეს მომხმარებელთა სახელებზე, ტელეფონის ნომრებზე, ელფოსტის მისამართებზე, ფიზიკურ მისამართებზე, მხარდაჭერის საქმეების მონაცემებსა და გაყიდვებთან დაკავშირებულ ინფორმაციაზე მისი Salesforce გარემოდან. LastPass-მა ხაზგასმით აღნიშნა, რომ მისი ძირითადი პროდუქტები, ინფრასტრუქტურა და მომხმარებელთა პაროლების საცავები არ დაზიანებულა.techcrunch

გამომძალველთა ახალი ჯგუფის გამოჩენა

Huntress-მა თავდასხმა მიაწერა Icarus-ს, გამომძალველთა ჯგუფს, რომელიც 2026 წლის აპრილის ბოლოს გამოჩნდა. ჯგუფი მსხვერპლებს დაუკავშირდა ფსევდონიმით „mr bean“ და მიმართა Session Messenger-ის ID-ზე, რომელიც დაკავშირებულია Icarus-ის გაჟონვის საიტთან. ჯგუფმა საჯაროდ დაიმუქრა მოპარული მონაცემების გასაჯაროებით, თუ გამოსასყიდის მოთხოვნები არ დაკმაყოფილდება. Klue-მ CrowdStrike დაიქირავა გამოძიებასა და რეაგირებაში დასახმარებლად.threatlocker