Klue Çifte Fidye Saldırısı: Hackercılar Kendi Aralarında Çatışıyor

12 Haziran 2026'da pazar istihbarat platformu Klue, entegrasyon altyapısında yetkisiz bir aktivite tespit etti. Saldırı, sızıntı sitesinde daha önce yalnızca iki kurbanı bulunan yeni bir grup olan Icarus tarafından gerçekleştirildi . Saldırganlar, bir entegrasyon servis hesabına ait çalıntı eski bir kimlik bilgisini kullanarak sisteme girdi ve müşterilerin Klue'yi Salesforce başta olmak üzere üçüncü taraf platformlara bağlamak için kullandığı OAuth token'larını topladı . Bu token'larla Icarus, müşterilerin Salesforce ortamlarına otomatik sorgular göndererek iş bağlantıları, fırsatlar ve satış görüşmesi verileri dahil olmak üzere CRM verilerini toplu halde dışarı sızdırdı .

Beklenmedik Gelişme: Icarus Verileri Silerken İkinci Bir Grup Sahneye Çıkıyor

Icarus silme işlemini başlattı. TechCrunch'ın incelediği 25 Haziran tarihli bir müşteri güncellemesinde Klue şu ifadelere yer verdi: "Icarus bize, Klue müşterilerinden alınan verileri silmek için adımlar attıklarını söyledi. Icarus sitesi kapalı durumda ve Icarus'un Klue müşterilerinden alınan verileri silmek için adımlar attığına dair işaretlerimiz var" .

İkinci grup ortaya çıkıyor. Icarus verileri yok ediyor gibi görünse de, ikinci, isimsiz bir bilgisayar korsanı çetesi çalınan bilgilerin en azından bir kısmını ele geçirdi ve doğrudan Klue'nin müşterilerine şantaj yapıyor . Klue'nin Perşembe günkü güncellemesine göre, "Icarus bize diğer tarafın yalnızca örnek verilere sahip olduğunu ve fırsatçı ve sahtekâr bir şekilde müşterilerimizin bir kısmından doğrudan ödeme talep ettiğini söyledi" . Bu ikinci grup, kendi şantaj sitesinde etkilendiği iddia edilen şirketlerin bir listesini yayınladı .

195 Kuruluş Etkilendi

Birden fazla rapor, yaklaşık 195 kuruluşun verilerinin çalındığını doğruluyor. The Register "yüzlerce" kurbandan bahsederken , diğer kaynaklar 195 şirketin doğrudan fidye talebi aldığını belirtiyor. Doğrulanan kurbanlar arasında Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity ve diğerleri yer alıyor . Bazı doğrulanmamış iddiaların aksine, kaynak listelerinde LastPass yer almıyor.

Saldırı Nasıl Gerçekleşti?

• Giriş: Saldırganlar, terk edilmiş bir entegrasyon hizmetiyle ilişkili, uzun süredir kullanılmayan ve ele geçirilmiş bir API kimlik bilgisini kullanarak Klue'nin arka uç sistemine erişti .
• Token toplama: Müşterilerin Klue'ye Salesforce ve diğer platformlara (Gong dahil) bağlanmak için verdiği OAuth token'larını toplamak üzere sisteme kötü niyetli kod yerleştirildi .
• Veri sızdırma: Bu token'larla saldırganlar, bağlı Salesforce organizasyonlarına karşı otomatik sorgular gerçekleştirerek CRM verilerini toplu halde dışarı çıkardı .
• SaaS tedarik zinciri saldırısı: Olay, üçüncü taraf entegrasyonlar yoluyla bir tedarik zinciri saldırısı olarak tanımlanıyor. Klue, Klue platformunun kendisinde depolanan müşteri içeriğinin etkilendiğine dair hiçbir kanıt olmadığını belirtti .

Resmi Tavsiye: Klue Müşterilerine Ödeme Yapmamalarını Öneriyor

CrowdStrike desteği. Klue, soruşturmaya destek olmak ve yanıt önlemlerini doğrulamak için "CrowdStrike ile anlaştığını" kamuoyuna doğruladı . Şirket derhal harekete geçerek etkilenen kimlik bilgilerini ve token'ları iptal etti, yetkisiz kodu kaldırdı, etkilenen entegrasyonları devre dışı bıraktı ve kolluk kuvvetlerine bildirimde bulundu .

İkinci gruba karşı uyarı. 25 Haziran güncellemesinde Klue, müşterilerine ikinci isimsiz gruba ödeme yapmamalarını tavsiye etti. Bunun yerine Klue, etkilenen müşterilerin herhangi bir fidye talebiyle ilgilenmeden önce veri örneği kanıtı talep etmelerini ve bu tür iletişimleri doğrulama için doğrudan Klue'ye veya kolluk kuvvetlerine iletmelerini önerdi . Şirket, ikinci grubun yalnızca "örnek" verilere sahip olduğunu ve fırsatçı ve sahtekâr bir şekilde hareket ettiğini vurguladı .

Devam eden düzeltmeler. Klue, ek güvenlik önlemleri uygulamak için güvenlik kontrolleri, kimlik bilgisi yönetimi, izleme ve dağıtım süreçlerinin tam bir incelemesini yapıyor .