Un attacco informatico contro Klue, fornitore canadese di market intelligence, ha aperto una falla nei dati di diversi clienti aziendali, tra cui alcune società di primo piano nel settore della cybersecurity. Il gruppo criminale Icarus ha rivendicato l’operazione e ha minacciato di pubblicare i dati sottratti se non sarà pagato un riscatto.
Klue ha dichiarato che gli hacker hanno rubato dati da un numero non precisato di clienti durante un cyberattacco avvenuto una settimana prima della comunicazione pubblicata dall’azienda. La società, con sede a Vancouver, consente alle imprese di svolgere ricerche di mercato collegando i propri dati ai suoi sistemi: proprio questa funzione di integrazione è diventata il punto critico dell’incidente.
L’elenco delle aziende che hanno confermato il furto di dati mostra la portata del caso. Tra i nomi citati figurano Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social e Tanium. Klue non ha indicato quanti dei suoi centinaia di clienti siano stati coinvolti, lasciando aperta una domanda centrale per imprese e utenti: quanto sia estesa, in concreto, l’esposizione dei dati.
Secondo quanto comunicato dall’azienda, gli aggressori sono entrati nei sistemi il 12 giugno usando una credenziale legacy compromessa, come una password o un token, associata a uno strumento di integrazione. Quel componente permetteva ai clienti di collegare i dati cloud aziendali ai propri account Klue. Una volta dentro, gli hacker hanno potuto sottrarre informazioni dai cloud dei clienti, comprese basi dati Salesforce, spesso usate dalle imprese per conservare informazioni personali e commerciali sui propri clienti.
I dati rubati, stando alle comunicazioni delle aziende coinvolte, comprendono soprattutto informazioni di contatto business: nomi, indirizzi email, numeri di telefono, ruoli professionali e alcune informazioni sugli account. Non emerge, dal materiale disponibile, una quantificazione complessiva dei record esposti né una conferma pubblica su eventuali categorie più sensibili. Il punto rilevante, però, è che anche dati apparentemente ordinari possono diventare utili in campagne di phishing, social engineering o ricognizione commerciale mirata.
Il caso rientra in una tendenza più ampia: gli attaccanti prendono di mira fornitori che funzionano da snodo tra più ambienti cloud aziendali. Colpendo un operatore come Klue, possono cercare di trasformare un singolo accesso in un moltiplicatore di esposizione su molte organizzazioni. Nell’ultimo anno, attacchi simili hanno interessato anche provider middleware come Gainsight e Salesloft, sfruttati per accedere ai dati di numerose aziende.
Resta poco chiaro come la credenziale compromessa sia stata ottenuta e perché il furto non sia stato individuato prima. Incidenti recenti basati sull’abuso di credenziali, come quelli legati a Snowflake e TanStack, sono stati associati all’installazione involontaria di malware ruba-password sui dispositivi di lavoro dei dipendenti. Nel caso Klue, però, non è stata indicata pubblicamente una causa definitiva.
Klue ha chiamato la società di incident response CrowdStrike e ha disconnesso le integrazioni per impedire ulteriori accessi ai dati dei clienti. Huntress, una delle aziende di sicurezza colpite, ha riferito che gli aggressori l’hanno contattata con una richiesta di riscatto usando l’indirizzo email di una società australiana, i cui server sarebbero stati probabilmente abusati per la campagna. La vicenda lascia alle imprese una lezione operativa netta: le integrazioni cloud e le credenziali storiche non sono dettagli tecnici, ma superfici di rischio centrali nella catena di fornitura digitale.