يقول Hacked Klue إن المجرمين يقومون بحذف بيانات العملاء المسروقة، ولكن الآن يقوم قراصنة آخرون بتوجيه التهديدات

قالت شركة أبحاث السوق Klue، التي تعرضت للاختراق في وقت سابق من هذا الشهر في اختراق سمح لمجرمي الإنترنت بسرقة مجموعات من البيانات تخص العديد من عملائها، إنها تتواصل مع المتسللين. وقالت الشركة أيضًا إنها تعتقد أن المجموعة تحذف البيانات المسروقة، حسبما علمت TechCrunch.

كتبت الشركة في تحديث تمت مشاركته بشكل خاص مساء الأربعاء مع عملائها، والذي شاهدته TechCrunch وتحققت منه من مصادر متعددة: “نحن نواصل التواصل مع جهة التهديد التي كنا على اتصال بها (‘Icarus’)”. “أخبرنا Icarus أنهم يتخذون خطوات لحذف البيانات المأخوذة من عملاء Klue. لا يزال موقع Icarus معطلاً ولدينا مؤشرات على أن Icarus يتخذ بالفعل خطوات لحذف البيانات المأخوذة من عملاء Klue.”

وأكدت Klue يوم الاثنين أن المتسللين اقتحموا أنظمتها في 12 يونيو وسرقوا كمية غير محددة من البيانات من عدد غير محدد من عملائها. منذ ذلك الحين، أكد العديد من عملاء Klue أنهم تأثروا بالاختراق، بما في ذلك Gong وJamf وHackerOne وHuntress وInsurity وLastPass وOneTrust وRecorded Future وReliaQuest وSnyk وSprout Social وTanium.

في ذلك الوقت، كانت مجموعة القرصنة Icarus تهدد Klue بالإفراج عن بيانات العملاء المسروقة في محاولة لابتزاز الشركة.

اعتبارًا من صباح يوم الخميس، عندما فحص موقع TechCrunch، يبدو أن موقع Icarus الإلكتروني معطل، وهو أيضًا ما أخبره Klue لعملائه بشكل خاص.

في حين يبدو أن كل هذا يشير إلى حل، إلا أن الاختراق أصبح أكثر فوضوية في اليومين الماضيين. وبحسب كلوي، فإن إيكاروس أخبر الشركة أن هناك عصابة ثانية من الهاكرز تحاول ابتزاز عملائها بشكل مباشر.

نشرت هذه العصابة التي لم تذكر اسمها قائمة بالشركات التي يُزعم أنها تأثرت على موقعها الإلكتروني، والتي اطلعت عليها TechCrunch، حيث زعمت أنها سرقت بيانات عملاء Klue مباشرة من Icarus. وزعم المتسللون أيضًا أن Klue دفع “لعامل Icarus وهو مراهق يعيش في مكان ما في المملكة المتحدة أو البلدان المجاورة”. لم تحصل TechCrunch على أي تحقق مستقل من أن Klue دفع لشركة Icarus، كما لم نتمكن من تحديد سبب تعطل موقع Icarus الإلكتروني. ولم يرد المتحدث باسم Klue على الفور على طلب للتعليق.

وفقًا للمتسللين، ارتكب هذا الشخص خطأً سمح لهم بالاتصال بالخادم حيث كان المشغل يحتفظ ببيانات عميل Klue المسروقة.

كتب مجرمو الإنترنت في رسالة على الموقع، حيث زعموا أن هناك 195 من عملاء Klue المتأثرين إجمالاً: “ادفع الفدية وإلا فسنقوم بتسريب كل شيء إذا لم تدفع لنا”.

وفي تحديثها للعملاء يوم الخميس، قال Klue: “أخبرنا Icarus أن الطرف الآخر لديه فقط عينات من البيانات لمجموعة فرعية من العملاء، وليس كل البيانات. لقد طلب منا Icarus إبلاغ عملاء Klue بعدم الدفع لهذا الطرف الآخر”.

واقترحت Klue على عملائها الذين يتواصلون مع هذه المجموعة الثانية من المتسللين أن يطلبوا عينة عشوائية من البيانات، كدليل على أن المتسللين يمتلكون بالفعل البيانات التي يزعمون أنهم يمتلكونها.

قالت الشركة سابقًا إن المتسللين سرقوا بيانات العملاء باستخدام بيانات اعتماد طرف ثالث لعام 2022 والتي كانت جزءًا من برنامج تجريبي محدود. استخدم المتسللون بعد ذلك وصولهم إلى أنظمة Klue لسرقة مفاتيح المصادقة الخاصة بالعملاء – المعروفة باسم رموز OAuth – وتسجيل الدخول إلى السحاب وقواعد البيانات الخاصة بهم. ولم يقدم Klue مزيدًا من التفاصيل حول بيانات الاعتماد المسروقة، مثل الجهة التي تم تعيينها لها، أو سبب عدم إلغائها في السنوات الأربع الماضية.

التحديث: أضافت المقالة لغة توضيحية مفادها أن الاتصال الذي تمت مشاركته بشكل خاص مع العملاء تم عرضه بواسطة TechCrunch وتم التحقق منه بواسطة مصادر متعددة.