答案已发布前天Last edited 前天18 来源

Klue 遭遇罕见双重勒索：原始黑客删数据，新团伙乘机勒索

市场情报平台 Klue 于 2026 年 6 月 12 日遭入侵，Icarus 黑客组织利用泄露的旧版集成服务凭据，窃取了客户用于连接 Salesforce 等平台的 OAuth 令牌，批量导出 CRM 数据。事件出现罕见转折：Icarus 告知 Klue 正在删除被盗数据，但另一个匿名黑客组织已获取部分数据样本，并直接向约 195 家受影响企业发送勒索邮件。

使用 Studio Global AI 搜索并核查事实浏览更多热门页面

189K0

Cybersecurity concept: digital padlock and data streams representing the Klue double extortion breach affecting 195 organizations through stolen OAuth tokens and Salesforce CRM dat — Search & fact-check with cited sources for What are the details of the double extortion incident targeting Klue's breach victims, includingAI-generated editorial illustration of the Klue supply-chain breach and double extortion incident.
AI 提示
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the double extortion incident targeting Klue's breach victims, including. Article summary: Here are the verified details of the Klue double extortion incident, based on multiple authoritative cybersecurity sources and official statements from Klue.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layo
openai.com

2026 年 6 月 12 日，市场情报平台 Klue 发现其集成基础设施出现异常活动。此次入侵由 Icarus 勒索组织实施，该团伙此前仅有 2 名受害者。攻击者利用 泄露的旧版集成服务凭据 进入系统，随后窃取客户用于连接 Klue 与第三方平台（主要是 Salesforce）的 OAuth 令牌 。利用这些令牌，Icarus 批量查询并导出了多个客户 Salesforce 环境中的 CRM 数据，包括商业联系人、商机信息和销售对话数据。

异常转折：Icarus 删除数据，第二个团伙介入

Icarus 删除被盗数据。 在 TechCrunch 获取的 6 月 25 日客户更新中，Klue 表示："Icarus 告诉我们，他们正在采取措施删除从 Klue 客户处获取的数据。Icarus 的网站仍然下线，我们有迹象表明 Icarus 确实在采取措施删除从 Klue 客户处获取的数据" 。

第二个匿名团伙出现。 尽管 Icarus 看似在销毁数据，但 另一个未具名的黑客组织 已经获取了至少部分被盗信息，并直接向 Klue 的客户进行勒索。据 Klue 周四的更新称："Icarus 告诉我们，另一方只拥有部分客户的数据样本，他们正在机会主义地、欺诈性地向我们的部分客户直接索要付款" 。该团伙已在自家勒索网站上公布了据称受影响的公司名单。

多达 195 家组织受影响

多项报道证实，约有 195 家组织 的数据被盗。《The Register》报道称受害者达 "数百家" ，其他消息源则指明 195 家公司收到了直接勒索要求。已确认的受害者包括 Huntress、Recorded Future、HackerOne、Jamf、Tanium、Gong、OneTrust、Snyk、Sprout Social、Insurity 等。值得注意的是，LastPass 并未出现在任何已来源的披露名单中，这与早期一些未经证实的说法相反。

攻击是如何运作的

入口： 攻击者利用一个长期闲置、已遭泄露的 API 凭据（与一个废弃的集成服务关联）进入 Klue 后台。
令牌窃取： 植入恶意代码以窃取客户授权给 Klue 用于连接 Salesforce 和其他平台（包括 Gong）的 OAuth 令牌。
数据窃取： 利用这些令牌，攻击者对已连接的 Salesforce 组织执行自动查询，批量导出 CRM 数据，如商业联系人、定价信息和商机备注等。
SaaS 供应链攻击： 此事件被描述为通过第三方集成实施的供应链攻击。Klue 表示，没有证据表明存储在 Klue 平台本身的客户内容受到影响。

官方指导：Klue 建议客户不要付款

获 CrowdStrike 支持。 Klue 公开确认已 "聘请 CrowdStrike" 支持调查并验证应对措施。公司已立即采取措施：撤销受影响的凭据和令牌、删除未经授权的代码、禁用受影响的集成，并通知执法机构。

关于第二个勒索组织的建议。 在 6 月 25 日的更新中，Klue 建议客户 不要向 第二个匿名团伙付款。相反，Klue 建议受影响的客户在回应任何勒索要求前先 要求对方提供数据样本作为证据——并将此类通信直接转发给 Klue 或执法机构进行核实。公司强调，第二个团伙似乎只持有数据的 "样本"，其行为是机会主义和欺诈性的。

持续修复。 Klue 正在对其安全控制、凭据管理、监控和部署流程进行全面审查，以实施额外的保护措施。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

使用 Studio Global AI 搜索并核查事实

人们还问