पुराने क्रेडेंशियल एक छेद बन गए, क्ले के ग्राहक डेटा हैकर्स द्वारा चुराया गया
JAKARTA - कनाडा की मार्केट रिसर्च कंपनी क्ले ने 2022 से हैकर्स द्वारा पुराने क्रेडेंशियल या सिस्टम एक्सेस डेटा का उपयोग करने के बाद ग्राहक डेटा के लीक की पुष्टि की। चोरी किए गए डेटा में साइबर सुरक्षा कंपनियों सहित कई कॉर्पोरेट ग्राहकों के स्वामित्व वाले डेटा शामिल हैं।
TechCrunch द्वारा रिपोर्ट किए गए अनुसार, क्रेडेंशियल को शुरू में सीमित प्रायोगिक परियोजनाओं के लिए तीसरे पक्ष को दिया गया था। यह खोज इस सवाल को उठाती है कि क्या हमले में उपयोग किए जाने से पहले पुराने एक्सेस को पहले ही निष्क्रिय किया जाना चाहिए था।
हैकिंग 12 जून को पता चला और पहली बार शुक्रवार को क्ले द्वारा उजागर किया गया। यह घटना पासवर्ड प्रबंधक एप्लिकेशन बनाने वाली कंपनी लास्टपास सहित कई ग्राहकों पर प्रभाव डाली, साथ ही कई अन्य साइबर सुरक्षा कंपनियों पर भी।
हैकर OAuth टोकन संग्रहीत करने वाले Klue सिस्टम तक पहुंच का उपयोग करते हैं। OAuth टोकन एक डिजिटल कुंजी है जो एक सेवा को लगातार उपयोगकर्ता नाम और पासवर्ड पूछने के बिना किसी अन्य सेवा पर डेटा एक्सेस करने की अनुमति देता है।
इस पहुंच के साथ, हैकर क्लाउड कंप्यूटिंग सेवाओं और विभिन्न डेटाबेस में संग्रहीत ग्राहक डेटा लेते हैं। चोरी किए गए डेटा का उपयोग बाद में पीड़ित कंपनियों को धमकाने के लिए किया जाता है।
Klue के प्रवक्ता केटी बर्ग ने टेकक्रंच को बताया कि एक अस्थायी जांच के परिणामों से पता चला है कि हमले में उपयोग किए गए क्रेडेंशियल "शुरुआत में 2022 में सीमित प्रायोगिक परियोजनाओं के लिए तीसरे पक्ष को दिए गए थे।"
हालांकि, Klue ने परियोजना के उद्देश्य, कितने समय तक चलने, और क्रेडेंशियल प्राप्त करने वाले तीसरे पक्ष की पहचान को स्पष्ट नहीं किया है। कंपनी ने यह भी जवाब नहीं दिया कि परियोजना समाप्त होने के बाद पहुंच क्यों नहीं रद्द की गई थी।
कई अन्य प्रश्न अभी भी लटके हुए हैं। क्ले ने चोरी किए गए क्रेडेंशियल के प्रकार का खुलासा नहीं किया है। अपने ब्लॉग पोस्ट में, कंपनी ने केवल एकीकरण सेवाओं से संबंधित पुराने क्रेडेंशियल के रूप में उल्लेख किया।
क्ले ने यह भी स्पष्ट नहीं किया कि क्रेडेंशियल कर्मचारियों के उपयोगकर्ता नाम और पासवर्ड थे या क्या पहुंच डेटा एक तीसरे पक्ष से चुराया गया था, न कि कंपनी की आंतरिक प्रणाली से।
विवरण यह समझने के लिए महत्वपूर्ण है कि हमले कैसे किए गए और भविष्य में इसी तरह की घटनाओं को कैसे रोका जा सकता है।
TechCrunch को दिए गए बयान में, Klue ने कहा कि वह क्रेडेंशियल प्रबंधन, विक्रेता पहुंच नियंत्रण, निगरानी क्षमता और सिस्टम कार्यान्वयन की सुरक्षा प्रक्रियाओं की व्यापक समीक्षा कर रहा है। हालांकि, कंपनी ने और विवरण नहीं दिया।
इकारस हैकर समूह ने अपने डेटा लीक साइट के माध्यम से हमले के लिए जिम्मेदार होने का दावा किया। समूह ने डेटा चोरी करने की धमकी दी जब जब्ती की मांग पूरी नहीं की गई।
Klue ने अभी तक यह नहीं कहा है कि क्या उसने हैकरों से बात की है या क्या कंपनी इस मांग को पूरा करने की योजना बना रही है।