Hacked Klue says criminals are deleting stolen customer data, but now other hackers are making threats
A Klue, empresa especializada em pesquisa de mercado, que sofreu um ataque cibernético no início deste mês — violação que permitiu que cibercriminosos roubassem grandes quantidades de dados pertencentes a vários de seus clientes —, afirmou que está mantendo contato com os hackers. A empresa também declarou acreditar que o grupo está apagando os dados roubados, segundo apurou o TechCrunch.
“Continuamos a nos comunicar com o agente malicioso com quem temos mantido contato (‘Icarus’)”, escreveu a empresa em uma atualização compartilhada em caráter privado na noite de quinta-feira com seus clientes, à qual o TechCrunch teve acesso. “O Icarus nos informou que está tomando medidas para excluir os dados obtidos dos clientes da Klue. O site do Icarus continua fora do ar e temos indícios de que o Icarus está de fato tomando medidas para excluir os dados obtidos dos clientes da Klue.”
Na segunda-feira, a Klue confirmou que hackers invadiram seus sistemas em 12 de junho e roubaram uma quantidade não especificada de dados de um número não especificado de seus clientes. Desde então, vários clientes da Klue confirmaram ter sido afetados pela violação, incluindo Gong, Jamf, HackerOne, Huntress, Insurity, LastPass, OneTrust, Recorded Future, ReliaQuest, Snyk, Sprout Social e Tanium.
Na época, o grupo de hackers Icarus estava ameaçando a Klue de divulgar os dados roubados dos clientes, numa tentativa de extorquir a empresa.
Na manhã desta quinta-feira, quando o TechCrunch verificou, o site do Icarus parecia estar fora do ar, o que também foi o que a Klue informou em particular aos seus clientes.
Embora tudo isso pareça apontar para uma resolução, o ataque se complicou nos últimos dias. De acordo com a Klue, o Icarus informou à empresa que há um segundo grupo de hackers tentando extorquir seus clientes diretamente.
Esse grupo não identificado publicou uma lista das empresas supostamente afetadas em seu próprio site — que o TechCrunch teve acesso —, na qual alegou ter roubado os dados dos clientes da Klue diretamente do Icarus. Os hackers também alegaram que a Klue pagou a um “operador do Icarus, que é um adolescente morando em algum lugar do Reino Unido ou em países vizinhos”. O TechCrunch não obteve nenhuma confirmação independente de que a Klue tenha pago ao Icarus, nem conseguimos determinar por que o site do Icarus está fora do ar. Um porta-voz da Klue não respondeu imediatamente a um pedido de comentário.
Segundo os hackers, essa pessoa cometeu um erro que lhes permitiu se conectar ao servidor onde o operador mantinha os dados roubados dos clientes da Klue.
“Paguem o resgate ou divulgaremos tudo se não nos pagarem”, escreveram os cibercriminosos em uma mensagem no site, onde alegaram que há 195 clientes da Klue afetados no total.
Em sua atualização de quinta-feira aos clientes, a Klue afirmou: “A Icarus nos informou que a outra parte possui apenas amostras de dados de um subconjunto de clientes, e não todos os dados. A Icarus nos pediu para informar aos clientes da Klue que não efetuem pagamentos a essa outra parte.”
A Klue sugeriu que seus clientes que estejam em contato com esse segundo grupo de hackers peçam uma amostra aleatória de dados, como prova de que os hackers realmente possuem os dados que afirmam ter.
A empresa havia informado anteriormente que os hackers roubaram os dados dos clientes usando uma credencial de terceiros de 2022 que fazia parte de um projeto-piloto limitado. Os hackers então usaram seu acesso aos sistemas da Klue para roubar as chaves de autenticação dos clientes — conhecidas como tokens OAuth — e acessar suas nuvens e bancos de dados. A Klue não forneceu mais detalhes sobre essa credencial roubada, como a quem ela foi atribuída ou por que não foi revogada nos últimos quatro anos.
