Klue, società di market research con sede a Vancouver, ha confermato che una credenziale del 2022 è stata usata da hacker per sottrarre grandi quantità di dati dai suoi clienti aziendali. L’incidente, rilevato il 12 giugno e comunicato pubblicamente nei giorni successivi, ha coinvolto anche realtà del settore cybersecurity, tra cui il produttore del password manager LastPass.
Il dettaglio più delicato riguarda l’origine della credenziale: secondo quanto dichiarato dalla portavoce Katie Berg, era stata fornita a una terza parte nel 2022 nell’ambito di un pilot limitato. La circostanza apre un punto critico per ogni impresa che gestisce integrazioni e accessi esterni: una credenziale nata per un test circoscritto può trasformarsi, anni dopo, in una porta d’ingresso verso sistemi e dati sensibili.
Gli aggressori avrebbero sfruttato l’accesso ai sistemi di Klue, dove erano conservate chiavi note come OAuth token, per raggiungere dati dei clienti archiviati in altri cloud e database. Il passaggio è importante perché mostra come il rischio non si fermi al perimetro della singola piattaforma: quando un servizio conserva token di integrazione, un abuso può propagarsi lungo la catena delle applicazioni collegate.
Klue non ha specificato che tipo di credenziale sia stata rubata. L’azienda ha parlato in un post di una legacy credential associata a un servizio di integrazione, senza chiarire se si trattasse, per esempio, di credenziali utente o di un altro meccanismo di accesso. Non ha inoltre indicato se ritenga che la credenziale sia stata sottratta alla terza parte coinvolta nel pilot oppure direttamente dai propri sistemi.
Restano aperte anche altre domande operative. Klue non ha spiegato a cosa servisse il pilot, quanto sia durato, quale terza parte avesse ricevuto la credenziale e perché l’accesso non fosse stato revocato al termine dell’attività. Sono dettagli che, in un incidente di questo tipo, aiutano a distinguere tra errore di processo, debolezza di controllo sui fornitori e lacuna nel ciclo di vita delle credenziali.
L’azienda ha dichiarato che l’indagine è ancora in corso e che sta conducendo una revisione completa di credential management, controlli di accesso dei vendor, capacità di monitoraggio e processi di sicurezza del deployment. La formula indica un perimetro ampio di verifica, ma al momento non sono stati forniti ulteriori elementi sulle misure già adottate o su eventuali cambiamenti immediati nelle procedure interne.
A rivendicare l’attacco è stato un gruppo chiamato Icarus, che ha pubblicamente minacciato di diffondere i dati sottratti se non verrà pagato un riscatto. Klue non ha detto se abbia avuto contatti con gli hacker né se intenda soddisfare le richieste. La dinamica descritta rientra in uno schema sempre più pesante per le aziende: l’accesso tecnico diventa leva di estorsione, soprattutto quando i dati appartengono a clienti terzi.
Per le imprese, il caso Klue è un promemoria concreto sul peso delle credenziali dimenticate. Non basta proteggere gli account attivi o monitorare gli accessi ordinari: occorre inventariare gli accessi concessi per test, integrazioni temporanee e progetti pilota, revocarli quando non servono più e verificare periodicamente i token che possono aprire collegamenti verso sistemi esterni.
La portata finale dell’incidente dipenderà da ciò che emergerà dall’indagine e dalle comunicazioni ai clienti coinvolti. Ma il punto già chiaro è che una credenziale rimasta in vita dal 2022 può diventare, in un ecosistema cloud interconnesso, molto più di un residuo tecnico: può trasformarsi in un rischio operativo, reputazionale e contrattuale per l’intera catena digitale.