古い資格情報が隙となり、Klueの顧客データがハッカーによって盗まれる

ジャカルタ - カナダの市場調査会社であるKlueは、ハッカーが2022年の古い資格情報またはシステムアクセスデータを盗んだ後、顧客データの漏洩を確認しました。盗まれたデータには、サイバーセキュリティ企業を含む多くの企業顧客が含まれています。

TechCrunchが報じたところによると、資格情報は当初、限定的なパイロットプロジェクトのためにサードパーティに提供されていました。この発見は、攻撃で使用される前に古いアクセスがすでに無効になっているべきかどうかという疑問を提起しました。

ハッキングは6月12日に検出され、先週金曜日、Klueによって最初に明らかにされました。この事件は、パスワードマネージャアプリケーションのメーカーであるLastPassを含む多くの顧客、および他のいくつかのサイバーセキュリティ企業に影響を与えました。

ハッカーは、OAuthトークンを格納するKlueシステムへのアクセスを利用しました。OAuthトークンは、1つのサービスがユーザー名とパスワードを常に要求することなく、他のサービスのデータにアクセスできるようにするデジタルキーです。

このアクセスにより、ハッカーはクラウドコンピューティングサービスやさまざまなデータベースに保存されている顧客データを盗みました。盗まれたデータは、被害企業を脅迫するために使用されました。

Klueの広報担当者であるKatie Berg氏はTechCrunchに対し、暫定的な調査結果は、攻撃で使用された資格情報は「2022年に限定的なパイロットプロジェクトのためにサードパーティに最初に提供された」ことを示していると述べた。

しかし、Klueはプロジェクトの目的、どのくらい続くのか、資格情報を受け取ったサードパーティの身元を明らかにしていません。同社はまた、プロジェクトが完了した後、アクセスが解除されなかった理由を説明していません。

他の多くの質問はまだぶら下がっています。クルーは、盗まれた資格情報の種類を明らかにしていない。ブログ投稿では、同社は統合サービスに関連する古い資格情報とだけ言及した。

Klueはまた、資格情報は従業員のユーザー名とパスワードであるか、アクセスデータがサードパーティから盗まれたのか、企業の内部システムから盗まれたのかを説明していません。

この詳細情報は、攻撃がどのように実行されたか、および将来の同様の事件をどのように防ぐことができるかを理解するために重要です。

TechCrunchへの声明で、Klueは、資格情報の管理、ベンダーのアクセス制御、監視機能、システム実装のセキュリティプロセスを完全にレビューしていると述べた。しかし、同社は詳細を明らかにしなかった。

イカロスハッカーグループは、そのデータ漏洩サイトを通じて攻撃の責任を認めた。グループは、身代金の要求が満たされなければ、盗まれたデータを公開すると脅した。

クルーは、ハッカーと連絡を取り合っているか、同社が要求を満たす予定かどうかをまだ明らかにしていない。