Klue雙重勒索驚人反轉：Icarus刪除被盜數據，第二黑客集團接手勒索195間公司

2026年6月12日，市場情報平台Klue發現其整合基礎設施出現未經授權的活動。這次入侵由Icarus勒索集團執行，這是一個新興的黑客組織，其洩密網站上僅有兩個先前的受害者。攻擊者利用一個被洩露的舊版憑證——與一個整合服務帳戶相關聯——獲得存取權限，然後竊取客戶用來連接Klue與第三方平台的OAuth令牌，主要針對Salesforce。利用這些令牌，Icarus查詢並大量竊取多個客戶環境中的Salesforce CRM數據——包括商業聯絡人、商機和銷售對話數據。

驚人轉折：Icarus刪除數據，第二集團介入

Icarus刪除被盜數據。 在TechCrunch查閱的一份6月25日客戶更新文件中，Klue表示：「Icarus告訴我們他們正在採取措施刪除從Klue客戶取得的數據。Icarus的網站仍然關閉，我們有跡象顯示Icarus確實正在採取措施刪除從Klue客戶取得的數據」。

第二個身份不明的集團浮現。 儘管Icarus似乎正在銷毀數據，但一個第二個身份不明的黑客集團已經取得至少部分被盜資訊，並直接向Klue的客戶進行勒索。根據Klue週四的更新：「Icarus告訴我們，另一方只有部分客戶的數據樣本，並非全部數據。Icarus已經要求我們通知Klue客戶不要向該方付款」。這個第二集團在自己的勒索網站上發布了一份聲稱受影響公司的名單。

195間機構受影響

多份報告證實，約有195間機構的數據被盜。《The Register》報導有「數百名」受害者，其他來源具體指出有195間公司收到直接勒索要求。已確認的受害者包括Huntress、Recorded Future、HackerOne、Jamf、Tanium、Gong、OneTrust、Snyk、Sprout Social、Insurity等。值得注意的是，LastPass並未被列入任何來源的披露清單中。

攻擊如何運作

• 進入點： 攻擊者使用一個長期閒置、被洩露的API憑證——與一個已廢棄的整合服務相關聯——來存取Klue的後端。
• 令牌竊取： 植入惡意程式碼以竊取客戶授權Klue連接Salesforce和其他平台（包括Gong）的OAuth令牌。
• 數據外洩： 利用這些令牌，攻擊者對已連接的Salesforce組織執行自動化查詢，大量提取CRM數據，如商業聯絡人、定價資訊和商機備註。
• SaaS供應鏈攻擊： 此事件被描述為透過第三方整合的供應鏈攻擊。Klue表示沒有證據顯示儲存在Klue平台本身的客戶內容受到影響。

官方指引：Klue建議客戶不要付款

獲得CrowdStrike支援。 Klue公開確認已「聘請CrowdStrike」支援調查並驗證應對措施。該公司立即採取行動：撤銷受影響的憑證和令牌、移除未經授權的程式碼、停用受影響的整合，並通知執法部門。

關於第二勒索集團的建議。 在6月25日的更新中，Klue建議客戶不要付款給第二個身份不明的集團。相反，Klue建議受影響的客戶在與任何勒索要求交涉前要求提供數據樣本作為證明——並將任何此類通訊直接轉發給Klue或執法部門進行驗證。該公司強調，第二集團似乎僅持有「樣本」數據，而且其行為是機會主義和欺詐性的。

持續補救措施。 Klue正在對安全控制、憑證管理、監控和部署流程進行全面審查，以實施額外的保護措施。