Hacked Klue diz que criminosos estão excluindo dados roubados de clientes, mas agora outros hackers estão fazendo ameaças

O fornecedor de pesquisas de mercado Klue, que foi hackeado no início deste mês em uma violação que permitiu aos cibercriminosos roubarem grandes quantidades de dados pertencentes a vários de seus clientes, disse que está se comunicando com os hackers. A empresa também disse acreditar que o grupo está excluindo os dados roubados, descobriu o TechCrunch.

“Continuamos a nos comunicar com o ator de ameaça com quem estivemos em contato (‘Icarus’)”, escreveu a empresa em uma atualização compartilhada em explicit na noite de quarta-feira com seus clientes, que o TechCrunch viu e verificou com várias fontes. “A Icarus nos disse que está tomando medidas para excluir os dados obtidos dos clientes da Klue. O web site da Icarus permanece fora do ar e temos indicações de que a Icarus está de fato tomando medidas para excluir os dados obtidos dos clientes da Klue.”

Na segunda-feira, Klue confirmou que hackers invadiram seus sistemas em 12 de junho e roubaram uma quantidade não especificada de dados de um número não especificado de seus clientes. Desde então, vários clientes da Klue confirmaram que foram afetados pela violação, incluindo Gongo, Jamf, HackerOne, Caçadora, SeguroLastPass, OneTrust, Futuro Registrado, ReliaQuest, Snyk, Broto Sociale Tânio.

Na época, o grupo de hackers Icarus ameaçava Klue de divulgar os dados dos clientes roubados na tentativa de extorquir a empresa.

Na manhã de quinta-feira, quando o TechCrunch verificou, o web site Icarus parecia estar fora do ar, o que também foi o que Klue disse em explicit a seus clientes.

Embora tudo isso pareça apontar para uma solução, o hack ficou mais complicado nos últimos dias. Segundo Klue, Icarus disse à empresa que existe uma segunda gangue de hackers que está tentando extorquir diretamente seus clientes.

Essa gangue anônima postou em seu próprio web site uma lista de empresas supostamente afetadas, que o TechCrunch viu, onde alegaram ter roubado dados de clientes de Klue diretamente da Icarus. Os hackers também alegaram que Klue pagou um “operador Icarus que é um adolescente que mora em algum lugar do Reino Unido ou de países adjacentes”. O TechCrunch não obteve nenhuma verificação independente de que Klue pagou ao Icarus, nem foi possível determinar por que o web site do Icarus está fora do ar. Um porta-voz da Klue não respondeu imediatamente a um pedido de comentário.

Segundo os hackers, essa pessoa cometeu um erro que lhe permitiu se conectar ao servidor onde a operadora guardava os dados dos clientes Klue roubados.

“Pague o resgate ou vazaremos tudo se você não nos pagar”, escreveram os cibercriminosos em uma mensagem no web site, onde alegaram que há 195 clientes Klue afetados no whole.

Em sua atualização de quinta-feira aos clientes, a Klue disse: “A Icarus nos disse que a outra parte tem apenas amostras de dados para um subconjunto de clientes, não todos os dados. A Icarus nos pediu para informar os clientes da Klue para não efetuarem pagamentos a essa outra parte”.

Klue sugeriu que seus clientes que estão em contato com esse segundo grupo de hackers solicitassem uma amostra aleatória de dados, como prova de que os hackers realmente possuem os dados que afirmam possuir.

A empresa disse anteriormente que os hackers roubaram dados de clientes usando uma credencial de terceiros de 2022 que fazia parte de um piloto limitado. Os hackers então usaram seu acesso aos sistemas da Klue para roubar as chaves de autenticação dos clientes – conhecidas como tokens OAuth – e fazer login em suas nuvens e bancos de dados. Klue não forneceu mais detalhes sobre essa credencial roubada, como a quem ela foi atribuída ou por que não foi revogada nos últimos quatro anos.

Atualização: o artigo adicionou uma linguagem esclarecedora de que uma comunicação compartilhada em explicit com os clientes foi visualizada pelo TechCrunch e verificada por várias fontes.