La société Klue, qui édite une plateforme de veille concurrentielle, a confirmé un incident de sécurité. Des pirates ont volé des jetons OAuth qui servent à connecter les environnements Salesforce de ses clients. Cette confirmation fait suite aux revendications publiques du nouveau groupe d’extorsion Icarus.
Des sociétés de cybersécurité, Huntress et ReliaQuest, avaient déjà décrit comment des attaquants exploitaient des intégrations compromises de Klue Battlecards pour dérober des données du CRM Salesforce chez plusieurs entreprises.
Dans une déclaration publiée cette semaine, le PDG de Klue, Jason Smith, a précisé que son équipe a détecté une activité non autorisée le 12 juin sur une partie de l’infrastructure d’intégration de la société.
L’enquête a établi qu’un attaquant a obtenu l’accès grâce à un ancien identifiant compromis. Ce dernier était associé à un service d’intégration. L’individu a ensuite exploité cet accès pour s’emparer de jetons OAuth. Ces jetons servaient à connecter Klue à certaines plateformes tierces, dont Salesforce. L’attaquant a pu accéder aux données dans plusieurs environnements clients qui étaient liés.
Klue affirme qu’il n’existe actuellement aucune preuve que les contenus clients stockés directement sur sa plateforme aient été touchés. L’incident se serait limité aux intégrations avec des tiers.
La société indique avoir immédiatement révoqué les jetons et identifiants affectés. Elle a aussi supprimé du code non autorisé, désactivé les intégrations impactées, lancé une enquête et averti les autorités. Klue a également confirmé avoir fait appel à CrowdStrike pour l’aider dans sa réponse.
Les analyses de ReliaQuest et Huntress ont révélé que les pirates utilisaient les identifiants OAuth volés pour pénétrer dans les environnements Salesforce des clients et réaliser des exfiltrations de données à grande échelle.
ReliaQuest a observé que les attaquants généraient des jetons OAuth et employaient des scripts Python pour interroger l’API de Salesforce pendant de longues périodes, ce qui a permis le vol.
Huntress a pour sa part indiqué que son propre environnement Salesforce avait été affecté par la brèche de Klue. Les données dérobées comprenaient des contacts professionnels, des communications commerciales, des informations sur les prix et d’autres enregistrements.
Icarus revendique l’attaque
Alors que des médias spécialisés avaient déjà relié cet incident à l’opération d’extorsion Icarus, les pirates viennent de revendiquer publiquement l’attaque sur leur site de fuite de données.
Un message d’Icarus affirme avoir impacté Klue.com et exfiltré les instances Salesforce de plusieurs entreprises partenaires de Klue.
Les menaçants ont ensuite exercé une pression sur Klue et les organisations touchées. Ils les ont incitées à les contacter via la plateforme de messagerie Session pour éviter la publication des données volées.
Cette revendication publique intervient après que des courriers d’extorsion envoyés aux victimes aient permis d’identifier Icarus. Huntress a aussi établi un lien indépendant grâce aux identifiants Session Messenger utilisés dans les emails et sur le site de fuite du groupe.
Depuis, d’autres victimes ont révélé qu’elles étaient affectées par ces attaques. Parmi elles se trouvent Recorded Future, Tanium, Jamf, Sprout Social, Gong et Insurity.
Presque toutes déclarent que l’incident a entraîné le vol de données depuis leurs instances Salesforce. Leurs propres plateformes, infrastructures, informations de paiement ou systèmes internes n’ont pas été compromis.
Plusieurs organisations ont averti que les informations de contact professionnelles volées pourraient être utilisées dans des campagnes de phishing, d’ingénierie sociale ou d’extorsion ultérieures. Elles ont exhorté leurs clients à la plus grande vigilance.