کمیته رکن چهارم – شرکت Klue تأیید کرده است که در پی یک رخداد امنیتی، مهاجمان با سرقت توکنهای OAuth مورد استفاده برای اتصال به Salesforce، به دادههای تعدادی از مشتریان دسترسی پیدا کردهاند. همزمان، گروه اخاذی Icarus مسئولیت این حمله را بر عهده گرفته است.
به گزارش کمیته رکن چهارم، جیسون اسمیت، مدیرعامل Klue، اعلام کرد این شرکت در ۲۲ خرداد ۱۴۰۵ فعالیت غیرمجاز در بخشی از زیرساخت یکپارچهسازی خود را شناسایی کرده است. بررسیها نشان میدهد مهاجمان از طریق یک اعتبارنامه قدیمی به یکی از سرویسهای یکپارچهسازی دسترسی یافته و سپس توکنهای OAuth مرتبط با سرویسهایی از جمله Salesforce را سرقت کردهاند.
بر اساس گزارشهای Huntress و ReliaQuest، مهاجمان با استفاده از این توکنها به محیطهای Salesforce مشتریان متصل شده و حجم قابل توجهی از اطلاعات تجاری را استخراج کردهاند. دادههای سرقتشده شامل اطلاعات تماس، مکاتبات فروش، اطلاعات قیمتگذاری و سایر سوابق تجاری بوده است.
Klue اعلام کرده تمامی توکنها و اعتبارنامههای آسیبدیده را باطل کرده، یکپارچهسازیهای تحت تأثیر را غیرفعال کرده و با همکاری CrowdStrike و نهادهای مسئول در حال بررسی حادثه است. این شرکت همچنین تأکید کرده که تاکنون هیچ نشانهای از دسترسی مهاجمان به دادههای ذخیرهشده در خود پلتفرم Klue مشاهده نشده است.
در همین حال، گروه اخاذی Icarus با انتشار بیانیهای مسئولیت این حمله را پذیرفته و مدعی شده است دادههای Salesforce تعدادی از شرکتهای طرف همکاری با Klue را استخراج کرده است.
از جمله شرکتهایی که تحت تأثیر این رخداد قرار گرفتهاند میتوان به Recorded Future، Tanium، Jamf، Sprout Social، Gong و Insurity اشاره کرد. این شرکتها اعلام کردهاند شواهدی از نفوذ به زیرساختهای اصلی یا سامانههای عملیاتی آنها مشاهده نشده و دسترسی مهاجمان به دادههای موجود در Salesforce محدود بوده است.
کارشناسان هشدار میدهند اطلاعات تماس و دادههای تجاری سرقتشده ممکن است در حملات فیشینگ، مهندسی اجتماعی و اخاذیهای بعدی مورد استفاده قرار گیرد. این رخداد بار دیگر اهمیت حفاظت از توکنهای OAuth و نظارت بر یکپارچهسازیهای شخص ثالث را برجسته میکند.
منبع: BleepingComputer
