Klue-tietomurron erikoinen käänne: Toinen hakkeriryhmä astuu esiin Icaruksen poistaessa tietoja

Markkinatietoalusta Klue joutui vakavan tietomurron kohteeksi kesäkuussa 2026, ja tapaus on saanut harvinaisen käänteen. Alkuperäinen hyökkääjä, Icarus-kiristysryhmä, väittää nyt poistavansa varastetut tiedot, mutta toinen, nimeämätön hakkeriryhmä on saanut haltuunsa osan tiedoista ja vaatii lunnaita suoraan uhreilta. Tässä artikkelissa käymme läpi, mitä tapahtui, ketkä ovat uhreja ja miten Klue on reagoinut.

Miten hyökkäys tapahtui

Hyökkäys alkoi, kun Icarus-ryhmä käytti vaarantunutta vanhaa tunnistetta (legacy credential), joka oli liitetty integraatiotiliin, päästäkseen Kluen taustajärjestelmiin 11. kesäkuuta 2026. Päästyään sisälle hyökkääjät asensivat haitallista koodia, joka keräsi OAuth-tokenit, joita Kluen asiakkaat olivat myöntäneet yhdistääkseen Kluen Salesforceen ja muihin alustoihin.

Näillä tokeneilla hyökkääjät pystyivät tekemään automaattisia kyselyjä asiakkaiden Salesforce-ympäristöihin ja varastoimaan CRM-tietoja, kuten liiketoimintakontakteja, myyntimahdollisuuksia ja myyntikeskusteluja. Hyökkäys on esimerkki SaaS-toimitusketjun kompromissista, jossa kolmannen osapuolen integraatio altistaa useita yrityksiä.

Kummallinen käänne: Icarus poistaa tietoja, toinen ryhmä kiristää

Icarus poistaa tietoja. TechCrunchin näkemässä 25. kesäkuuta päivätyssä asiakaspäivityksessä Klue totesi: "Icarus kertoi meille, että he ryhtyvät toimiin poistaakseen Kluen asiakkailta varastetut tiedot. Icaruksen sivusto on edelleen alhaalla, ja meillä on viitteitä siitä, että Icarus todella poistaa Kluen asiakkailta varastettuja tietoja."

Toinen ryhmä ilmestyy. Vaikka Icarus vaikuttaa tuhoavan tietoja, toinen, nimeämätön hakkeriryhmä on saanut haltuunsa ainakin osia varastetuista tiedoista ja kiristää suoraan Kluen asiakkaita. Kluen päivityksen mukaan "Icarus kertoi meille, että toisella osapuolella on vain näytteitä tiedoista, ja he toimivat opportunistisesti ja vilpillisesti etsien maksua suoraan useilta asiakkailtamme." Tämä toinen ryhmä on julkaissut luettelon väitetyistä uhreista omalla kiristyssivustollaan.

195 organisaatiota uhrien joukossa

Useat lähteet vahvistavat, että noin 195 organisaatiota joutui tietomurron kohteeksi. The Register raportoi "sadoista" uhreista , ja muut lähteet täsmentävät, että 195 yritystä sai suoria kiristysvaatimuksia. Vahvistettuja uhreja ovat muun muassa Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social ja Insurity. On syytä mainita, että LastPass ei ole mukana missään vahvistetussa uhrien luettelossa, vaikka aluksi liikkui vahvistamattomia väitteitä.

Kluen ohjeet ja reagointi

Klue on palkannut Crowdstriken tutkimaan tapausta ja validoimaan vastatoimia. Yhtiö on ryhtynyt välittömiin toimiin: se on peruuttanut vaarantuneet tunnisteet ja tokenit, poistanut luvattoman koodin, poistanut käytöstä vaikuttaneet integraatiot ja ilmoittanut viranomaisille.

Neuvo toiselle kiristäjäryhmälle. Klue neuvoo asiakkaita olemaan maksamatta toiselle nimeämättömälle ryhmälle. Sen sijaan Klue suosittelee, että uhatut asiakkaat pyytävät datanäytteitä todisteeksi ennen kuin ryhtyvät mihinkään kiristysvaatimuksiin liittyviin toimiin – ja että he välittävät kaikki tällaiset viestit suoraan Kluelle tai viranomaisille tarkistettavaksi. Yhtiö korostaa, että toisella ryhmällä näyttää olevan vain "näytteitä" tiedoista, ja se toimii opportunistisesti ja vilpillisesti.

Jatkotoimet. Klue tekee parhaillaan kattavaa tarkistusta turvallisuuskäytäntöihinsä, tunnistetietojen hallintaan, valvontaan ja käyttöönottoprosesseihin estääkseen vastaavat tapaukset tulevaisuudessa.