O fornecedor de pesquisas de mercado Klue, que foi hackeado no início deste mês em uma violação que permitiu aos cibercriminosos roubarem grandes quantidades de dados pertencentes a vários de seus clientes, disse que está se comunicando com os hackers. A empresa também disse acreditar que o grupo está excluindo os dados roubados, descobriu o TechCrunch.
“Continuamos a nos comunicar com o ator de ameaça com quem estivemos em contato (‘Icarus’)”, escreveu a empresa em uma atualização compartilhada em particular na noite de quinta-feira com seus clientes, que o TechCrunch viu. “A Icarus nos disse que está tomando medidas para excluir os dados obtidos dos clientes da Klue. O site da Icarus permanece fora do ar e temos indicações de que a Icarus está de fato tomando medidas para excluir os dados obtidos dos clientes da Klue.”
Na segunda-feira, Klue confirmou que hackers invadiram seus sistemas em 12 de junho e roubaram uma quantidade não especificada de dados de um número não especificado de seus clientes. Desde então, vários clientes da Klue confirmaram que foram afetados pela violação, incluindo Gongo, Jamf, HackerOne, Caçadora, SeguroÚltima passagem, OneTrust, Futuro Registrado, ReliaQuest, Esgueirar-se, Broto Sociale Tânio.
Na época, o grupo de hackers Icarus ameaçava Klue de divulgar os dados dos clientes roubados na tentativa de extorquir a empresa.
Na manhã de quinta-feira, quando o TechCrunch verificou, o site Icarus parecia estar fora do ar, o que também foi o que Klue disse em particular a seus clientes.
Contate-nos
Você tem mais informações sobre a violação do Klue? Ou sobre o grupo de crimes cibernéticos Icarus? Adoraríamos ouvir de você. A partir de um dispositivo e rede que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail.
Embora tudo isso pareça apontar para uma solução, o hack ficou mais complicado nos últimos dias. Segundo Klue, Icarus disse à empresa que existe uma segunda gangue de hackers que está tentando extorquir diretamente seus clientes.
Essa gangue anônima postou em seu próprio site uma lista de empresas supostamente afetadas, que o TechCrunch viu, onde alegaram ter roubado dados de clientes de Klue diretamente da Icarus. Os hackers também alegaram que Klue pagou um “operador Icarus que é um adolescente que mora em algum lugar do Reino Unido ou de países adjacentes”. O TechCrunch não obteve nenhuma verificação independente de que Klue pagou ao Icarus, nem foi possível determinar por que o site do Icarus está fora do ar. Um porta-voz da Klue não respondeu imediatamente a um pedido de comentário.
Segundo os hackers, essa pessoa cometeu um erro que lhe permitiu se conectar ao servidor onde a operadora guardava os dados dos clientes Klue roubados.
“Pague o resgate ou vazaremos tudo se você não nos pagar”, escreveram os cibercriminosos em uma mensagem no site, onde alegaram que há 195 clientes Klue afetados no total.
Em sua atualização de quinta-feira aos clientes, a Klue disse: “A Icarus nos disse que a outra parte tem apenas amostras de dados para um subconjunto de clientes, não todos os dados. A Icarus nos pediu para informar os clientes da Klue para não efetuarem pagamentos a essa outra parte”.
Klue sugeriu que seus clientes que estão em contato com esse segundo grupo de hackers solicitassem uma amostra aleatória de dados, como prova de que os hackers realmente possuem os dados que afirmam possuir.
A empresa disse anteriormente que os hackers roubaram dados de clientes usando uma credencial de terceiros de 2022 que fazia parte de um piloto limitado. Os hackers então usaram seu acesso aos sistemas da Klue para roubar as chaves de autenticação dos clientes – conhecidas como tokens OAuth – e fazer login em suas nuvens e bancos de dados. Klue não forneceu mais detalhes sobre essa credencial roubada, como a quem ela foi atribuída ou por que não foi revogada nos últimos quatro anos.
Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.