Podwójny atak na platformę Klue. Icarus kasuje dane, ale pojawia się drugi gang

Włamanie do Klue – początek kłopotów

12 czerwca 2026 roku platforma analityki rynkowej Klue wykryła nieautoryzowaną aktywność w swojej infrastrukturze integracyjnej. Ataku dokonała grupa wymuszająca Icarus – nowy gracz, który wcześniej upublicznił tylko dwie ofiary na swojej stronie leak site . Napastnicy wykorzystali skompromitowane, stare dane logowania do konta usług integracyjnych, aby uzyskać dostęp, a następnie wykradli tokeny OAuth, których klienci używali do łączenia Klue z platformami zewnętrznymi, głównie Salesforce . Dzięki tym tokenom Icarus wykonał zapytania i wyeksfiltrował hurtowo dane CRM z Salesforce – w tym kontakty biznesowe, oferty i dane rozmów handlowych – z wielu środowisk klienckich .

Niecodzienny zwrot akcji: Icarus usuwa dane, pojawia się drugi gang

Icarus kasuje skradzione dane. W aktualizacji dla klientów z 25 czerwca, którą przeanalizował TechCrunch, Klue poinformowało: „Icarus powiedział nam, że podejmuje kroki w celu usunięcia danych pobranych od klientów Klue. Ich strona jest nieaktywna, a my mamy dowody na to, że Icarus rzeczywiście usuwa te dane” .

Pojawia się druga, nienazwana grupa. Mimo że Icarus najwyraźniej niszczy dane, druga, niezidentyfikowana grupa hakerska zdobyła przynajmniej części skradzionych informacji i bezpośrednio szantażuje klientów Klue . Według aktualizacji Klue z czwartku: „Icarus poinformował nas, że druga strona ma tylko próbki danych i działa oportunistycznie oraz oszukańczo, bezpośrednio żądając zapłaty od części naszych klientów” . Grupa ta opublikowała listę rzekomo poszkodowanych firm na swojej własnej stronie wymuszeń .

195 poszkodowanych organizacji

Wiele raportów potwierdza, że dane zostały skradzione około 195 organizacjom. The Register donosił o „setkach” ofiar , a inne źródła podają, że 195 firm otrzymało bezpośrednie żądania okupu. Potwierdzone ofiary to m.in. Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity i inne . Co istotne, LastPass nie figuruje na żadnej z ujawnionych list, wbrew wcześniejszym niepotwierdzonym doniesieniom.

Jak doszło do ataku?

• Punkt wejścia: Atakujący wykorzystali dawno nieużywane, skompromitowane dane dostępowe API powiązane z porzuconą integracją, aby dostać się do zaplecza Klue .
• Kradzież tokenów: Na serwerach Klue umieszczono złośliwy kod, który wykradał tokeny OAuth przyznane przez klientów do łączenia z Salesforce i innymi platformami (w tym Gong) .
• Eksfiltracja danych: Za pomocą tych tokenów napastnicy wykonywali zautomatyzowane zapytania do podłączonych instancji Salesforce, pobierając hurtowo dane CRM, takie jak kontakty biznesowe, cenniki i notatki o szansach .
• Atak łańcucha dostaw SaaS: Incydent określany jest jako atak na łańcuch dostaw przez integracje zewnętrzne. Klue podkreśla, że nie ma dowodów, by ucierpiała sama treść klientów przechowywana na platformie Klue .

Oficjalne zalecenia Klue: nie płaćcie okupu

Wsparcie CrowdStrike. Klue oficjalnie potwierdziło, że „zaangażowało CrowdStrike” do wsparcia śledztwa i walidacji działań naprawczych . Firma podjęła natychmiastowe kroki: unieważniła poszkodowane dane logowania i tokeny, usunęła nieautoryzowany kod, wyłączyła dotknięte integracje i powiadomiła organy ścigania .

Stanowisko wobec drugiej grupy wymuszającej. W aktualizacji z 25 czerwca Klue zaleca klientom niepłacenie drugiej, niezidentyfikowanej grupie. Zamiast tego firma sugeruje, aby poszkodowani zażądali próbek danych przed jakimkolwiek kontaktem z szantażystami – a wszelką korespondencję przekazywali bezpośrednio do Klue lub organów ścigania w celu weryfikacji . Klue podkreśla, że druga grupa prawdopodobnie posiada jedynie „próbki” danych i działa oportunistycznie oraz oszukańczo .

Dalsze działania naprawcze. Klue przeprowadza pełny przegląd zabezpieczeń, zarządzania danymi logowania, monitoringu i procesów wdrażania, aby wdrożyć dodatkowe zabezpieczenia .