اختراق Klue يتحول إلى فوضى: ظهور مجموعة قرصنة ثانية وادعاءات بسرقة بيانات 195 عميلاً

أبرز النقاط

• مجموعة قرصنة ثانية تظهر وتدعي سرقة بيانات عملاء Klue من مجموعة Icarus الأصلية
• القراصنة يزعمون تأثر 195 عميلاً من عملاء Klue بالاختراق
• Klue تؤكد تواصلها مع المهاجمين وتدعي أن مجموعة Icarus بدأت بحذف البيانات المسروقة

تحولت حادثة اختراق منصة Klue للأبحاث التنافسية إلى مشهد فوضوي معقد، بعد ظهور مجموعة قرصنة ثانية تدّعي امتلاكها بيانات عملاء المنصة، فيما تؤكد الشركة أنها تتواصل مع المجموعة الأولى المعروفة باسم Icarus التي بدأت بحذف البيانات المسروقة.

ماذا حدث في اختراق Klue؟

أكدت شركة Klue، المتخصصة في تقديم خدمات الأبحاث التنافسية وجمع المعلومات السوقية للشركات، يوم الاثنين الماضي أن قراصنة اخترقوا أنظمتها في 12 يونيو الجاري وسرقوا كميات غير محددة من البيانات. المثير للقلق أن هذه البيانات تخص عدداً من عملائها من الشركات التقنية الكبرى.

من بين الشركات المتأثرة بالاختراق: Gong وJamf وHackerOne وHuntress وInsurity وLastPass وOneTrust وRecorded Future وSnyk وSprout Social وTanium. هذه القائمة تضم أسماءً ثقيلة في عالم التقنية والأمن السيبراني، مما يضاعف من خطورة الحادثة.

كيف استغل القراصنة ثغرة عمرها 4 سنوات؟

كشفت Klue أن المهاجمين استخدموا بيانات اعتماد من طرف ثالث تعود لعام 2022، كانت جزءاً من برنامج تجريبي محدود. السؤال الذي يطرح نفسه: لماذا لم تُلغَ صلاحيات هذه البيانات طوال أربع سنوات؟

بعد الوصول الأولي، تمكن القراصنة من سرقة رموز المصادقة OAuth tokens الخاصة بالعملاء، مما أتاح لهم تسجيل الدخول مباشرة إلى قواعد البيانات والخدمات السحابية للشركات المتأثرة. هذا النوع من الهجمات يُعرف بـ"supply chain attack" حيث يُستهدف المورد للوصول إلى عملائه.

من هي مجموعة Icarus ولماذا أغلقت موقعها؟

أوضحت Klue في تحديث خاص شاركته مع عملائها ليلة الأربعاء أنها تتواصل مع مجموعة Icarus، وأن الأخيرة أبلغتها بأنها تتخذ خطوات لحذف البيانات المسروقة. موقع Icarus أصبح غير متاح، وهو ما تعتبره الشركة مؤشراً إيجابياً.

لكن القصة لم تنتهِ هنا. ظهرت مجموعة قرصنة ثانية تدّعي أنها سرقت البيانات من Icarus نفسها، بل وزعمت أن Klue دفعت فدية لـ"مشغّل في Icarus مراهق يعيش في المملكة المتحدة أو دول مجاورة". لم تتمكن TechCrunch من التحقق المستقل من هذا الادعاء.

هل دفعت Klue فدية للقراصنة؟

لم تؤكد Klue ولم تنفِ دفع أي مبالغ لمجموعة Icarus. المتحدث باسم الشركة لم يرد على طلبات التعليق حول هذه النقطة تحديداً. المجموعة الثانية تزعم أن أحد مشغلي Icarus ارتكب خطأً أمنياً سمح لهم بالاتصال بالخادم الذي يحتوي على البيانات المسروقة.

• المجموعة الثانية نشرت قائمة بأسماء الشركات المتأثرة على موقعها الخاص
• تهدد بنشر البيانات إذا لم تُدفع الفدية
• Icarus أبلغت Klue أن المجموعة الثانية تملك عينات فقط وليس كل البيانات
• Klue تنصح عملاءها بعدم الدفع للمجموعة الثانية وطلب عينات عشوائية كدليل

ما الذي يجب على الشركات المتأثرة فعله الآن؟

نصحت Klue عملاءها الذين يتواصلون مع المجموعة الثانية بطلب عينة عشوائية من البيانات كدليل على امتلاكهم الفعلي لها. هذا التكتيك يساعد في التحقق من جدية التهديد قبل اتخاذ أي قرار.

الأهم من ذلك، يجب على جميع الشركات التي تستخدم Klue مراجعة رموز OAuth tokens الخاصة بها فوراً وإلغاء أي رموز قد تكون مخترقة، بالإضافة إلى تفعيل المراقبة المكثفة لأي نشاط مشبوه في بنيتها التحتية السحابية.

الأسئلة الشائعة

ما هي منصة Klue وما طبيعة البيانات المسروقة؟

Klue منصة متخصصة في جمع وتحليل المعلومات التنافسية للشركات، والبيانات المسروقة تتضمن معلومات استخباراتية عن المنافسين واستراتيجيات الأعمال السرية لعملائها.

كيف يمكنني معرفة إذا كانت شركتي متأثرة باختراق Klue؟

إذا كنت من عملاء Klue، يجب أن تتلقى تحديثات مباشرة من الشركة. راجع أيضاً سجلات الوصول لأنظمتك السحابية بحثاً عن أي نشاط مشبوه منذ 12 يونيو.

هل يجب دفع الفدية للمجموعة الثانية من القراصنة؟

Klue تنصح صراحةً بعدم الدفع، وتوصي بطلب عينة عشوائية من البيانات أولاً للتحقق من صحة ادعاءات القراصنة.

ما هي رموز OAuth tokens وكيف استُخدمت في الاختراق؟

OAuth tokens هي رموز مصادقة تسمح للتطبيقات بالوصول إلى بيانات المستخدم دون الحاجة لكلمة المرور. سرقتها تمنح المهاجم صلاحيات الوصول الكاملة للأنظمة السحابية.

ما الإجراءات الوقائية التي يجب اتخاذها بعد هذا الاختراق؟

إلغاء جميع رموز OAuth المرتبطة بـKlue، مراجعة سجلات الوصول، تفعيل المصادقة متعددة العوامل MFA، والتواصل مع فريق Klue للحصول على تفاصيل محددة عن بياناتك.