Klue डबल एक्सटॉर्शन: Icarus ने चुराया डेटा डिलीट किया, दूसरे हैकर ग्रुप ने 195 पीड़ितों से फिरौती मांगी

12 जून 2026 को, बाजार खुफिया प्लेटफॉर्म Klue ने अपने इंटीग्रेशन इंफ्रास्ट्रक्चर में अनधिकृत गतिविधि का पता लगाया। यह सेंध Icarus नामक एक नए एक्सटॉर्शन ग्रुप ने लगाई, जिसके लीक साइट पर अब तक केवल दो पीड़ित थे । हमलावरों ने एक पुराने और समझौता किए गए लीगेसी क्रेडेंशियल का उपयोग किया, जो एक इंटीग्रेशन सर्विस अकाउंट से जुड़ा था, और फिर उन OAuth टोकन को चुरा लिया जिनका उपयोग ग्राहक Klue को Salesforce जैसे तीसरे पक्ष के प्लेटफॉर्म से जोड़ने के लिए करते थे । इन टोकन का उपयोग करके, Icarus ने कई ग्राहकों के Salesforce CRM डेटा को बड़ी मात्रा में क्वेरी और एक्सफिल्ट्रेट किया, जिसमें व्यावसायिक संपर्क, अवसर और बिक्री संबंधी डेटा शामिल है ।

अनोखा मोड़: Icarus डेटा डिलीट कर रहा है, दूसरा ग्रुप आ गया

Icarus चुराए गए डेटा को डिलीट कर रहा है। TechCrunch द्वारा समीक्षा किए गए 25 जून के ग्राहक अपडेट में, Klue ने कहा: "Icarus ने हमें बताया है कि वे Klue के ग्राहकों से लिया गया डेटा डिलीट करने के कदम उठा रहे हैं। Icarus की साइट डाउन बनी हुई है और हमारे पास संकेत हैं कि Icarus वास्तव में Klue के ग्राहकों से लिए गए डेटा को डिलीट करने के कदम उठा रहा है" .

दूसरा अनाम ग्रुप उभर कर आया। इस तथ्य के बावजूद कि Icarus डेटा को नष्ट करता दिख रहा है, एक दूसरे, अनाम हैकिंग ग्रुप ने कम से कम चुराए गए डेटा के कुछ हिस्से प्राप्त कर लिए हैं और सीधे Klue के ग्राहकों से फिरौती मांग रहा है । Klue के गुरुवार के अपडेट के अनुसार, "Icarus ने हमें बताया कि दूसरे पक्ष के पास डेटा के केवल सैंपल हैं और वे अवसरवादी और धोखाधड़ीपूर्ण तरीके से हमारे कई ग्राहकों से सीधे भुगतान मांग रहे हैं" । इस दूसरे ग्रुप ने अपनी एक्सटॉर्शन साइट पर कथित रूप से प्रभावित कंपनियों की एक सूची पोस्ट की है ।

195 संगठन प्रभावित

कई रिपोर्टों के अनुसार, लगभग 195 संगठनों का डेटा चुराया गया। द रजिस्टर ने "सैकड़ों" पीड़ितों की सूचना दी , जबकि अन्य स्रोतों ने बताया कि 195 कंपनियों को सीधे फिरौती की मांग मिली। पुष्टि किए गए पीड़ितों में Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity और अन्य शामिल हैं ।

हमला कैसे हुआ?

• प्रवेश: हमलावरों ने एक लंबे समय से निष्क्रिय, समझौता किए गए API क्रेडेंशियल का उपयोग किया, जो एक परित्यक्त इंटीग्रेशन सेवा से जुड़ा था, Klue के बैकएंड तक पहुंचने के लिए ।
• टोकन चोरी: ग्राहकों द्वारा Klue को Salesforce (और Gong) से जोड़ने के लिए दिए गए OAuth टोकन को चुराने के लिए दुर्भावनापूर्ण कोड डाला गया ।
• डेटा चोरी: इन टोकन के साथ, हमलावरों ने कनेक्टेड Salesforce ऑर्ग के खिलाफ स्वचालित क्वेरी चलाईं, जिसमें CRM डेटा जैसे व्यावसायिक संपर्क, मूल्य निर्धारण जानकारी और अवसर नोट्स को बल्क में निकाला ।
• SaaS सप्लाई-चेन हमला: इस घटना को तीसरे पक्ष के इंटीग्रेशन के माध्यम से सप्लाई-चेन हमले के रूप में वर्णित किया गया है। Klue ने कहा है कि इस बात का कोई सबूत नहीं है कि Klue प्लेटफॉर्म पर संग्रहीत ग्राहक सामग्री प्रभावित हुई हो ।

आधिकारिक सलाह: Klue ने ग्राहकों को भुगतान न करने की सलाह दी

CrowdStrike का समर्थन। Klue ने सार्वजनिक रूप से पुष्टि की कि उसने जांच और प्रतिक्रिया उपायों के लिए "CrowdStrike को शामिल किया है" । कंपनी ने तुरंत कदम उठाए: प्रभावित क्रेडेंशियल और टोकन को रद्द करना, अनधिकृत कोड को हटाना, प्रभावित इंटीग्रेशन को निष्क्रिय करना और कानून प्रवर्तन को सूचित करना ।

दूसरे एक्सटॉर्शन ग्रुप पर सलाह। 25 जून के अपडेट में, Klue ने ग्राहकों को सलाह दी कि वे दूसरे अनाम ग्रुप को भुगतान न करें। इसके बजाय, Klue ने प्रभावित ग्राहकों को सलाह दी कि वे किसी भी फिरौती की मांग से निपटने से पहले सबूत के तौर पर डेटा के सैंपल का अनुरोध करें और ऐसे किसी भी संचार को सीधे Klue या कानून प्रवर्तन को अग्रेषित करें । कंपनी ने इस बात पर जोर दिया कि दूसरे ग्रुप के पास डेटा के केवल "सैंपल" प्रतीत होते हैं और वे अवसरवादी और धोखाधड़ीपूर्ण तरीके से काम कर रहे हैं ।

जारी सुधार। Klue अतिरिक्त सुरक्षा उपायों को लागू करने के लिए सुरक्षा नियंत्रणों, क्रेडेंशियल प्रबंधन, निगरानी और डिप्लॉयमेंट प्रक्रियाओं की पूर्ण समीक्षा कर रहा है ।