Представители LastPass и BeyondTrust подтвердили, что злоумышленники похитили данные из их Salesforce-инстансов в ходе атаки на платформу конкурентной разведки Klue. Число известных жертв этого инцидента уже приблизилось к 15, однако ИБ-исследователи считают, что на самом деле пострадавших намного больше.

Напомним, что ответственность за атаку на Klue взяла на себя вымогательская группировка Icarus. Как сообщалось ранее, хакеры проникли в инфраструктуру компании, использовав действующие учетные данные от устаревшего сервиса интеграции, созданного для старого прототипа.

Получив доступ к системам Klue, злоумышленники внедрили вредоносный код, похитили OAuth-токены клиентов и создали новые. Эти токены позволили хакерам напрямую подключаться к сторонним платформам, с которыми интегрировался сервис Klue Battlecards, в том числе к Salesforce.

По информации исследователей, после взлома хакеры почти сутки изучали Salesforce-инстансы жертв через REST API, используя автоматизированные Python-скрипты. Сначала они исследовали структуру CRM и искали ценные объекты, а затем массово похищали данные.

Как сообщили в LastPass, в результате взлома Klue злоумышленники получили доступ к именам клиентов, телефонным номерам, email-адресам, физическим адресам, обращениям в поддержку, а также информации, связанной с продажами и CRM. В заявлении компании подчеркивается, что продукты, сервисы и инфраструктура LastPass при этом не пострадали, а хранилища паролей клиентов взлом не затронул.

После обнаружения инцидента специалисты LastPass отключили доступ сотрудников к Klue, сменили скомпрометированные API- и OAuth-токены, а также уведомили о произошедшем правоохранительные органы.

В свою очередь, представители ИБ-компании BeyondTrust подтвердили кражу деловых контактов и информации, связанной с продажами. Также на этой неделе об утечках данных сообщили компании 8×8 и Pendo.

Ранее стало известно, что компрометация Klue затронула такие компании, как HackerOne, Huntress, Jamf, OneTrust, Recorded Future, Snyk, Tanium, Insurity, Sprout Social, а также платформу Gong.

Суммарно в настоящее время известно примерно о 15 пострадавших организациях. На своем сайте в даркнете представители Icarus публиковали названия еще нескольких компаний, которые пока не сообщали об инциденте публично. При этом, по оценке специалистов из компании Huntress, реальное количество жертв может оказаться значительно выше.

ИБ-специалисты предупреждают, что похищенные деловые контакты могут использоваться для фишинга, атак с применением социальной инженерии и дальнейших попыток шантажа.

В LastPass отдельно предупредили о потенциально опасных письмах, которые могут исходить с доменов baccarat.com[.]au, robinskitchen.com[.]au и house[.]com[.]au, и рекомендовали доверять только сообщениям, поступающим по официальным каналам.