Công ty nghiên cứu thị trường Klue đã xác nhận rằng thông tin xác thực có từ năm 2022, là một phần của chương trình thí điểm hạn chế, đã bị tin tặc sử dụng vào đầu tháng này để đánh cắp hàng loạt dữ liệu từ các khách hàng doanh nghiệp của họ, bao gồm một số công ty an ninh mạng.
Chi tiết mới cho thấy Klue có thể đã mất nhiều năm để ngừng hoạt động thông tin xác thực được sử dụng cho phi công, đặt ra câu hỏi về tình hình bảo mật của công ty và những hành động mà công ty có thể thực hiện để ngăn chặn việc vi phạm dữ liệu của khách hàng.
Vụ hack tại Klue có trụ sở tại Vancouver, được phát hiện vào ngày 12 tháng 6 và được tiết lộ lần đầu vào thứ Sáu tuần trước, đã cho phép tin tặc đánh cắp dữ liệu từ một số khách hàng của họ, bao gồm nhà sản xuất trình quản lý mật khẩu LastPass và một số công ty an ninh mạng khác. Tin tặc đã sử dụng quyền truy cập vào hệ thống của Klue, nơi lưu trữ khóa – được gọi là mã thông báo OAuth – để truy cập dữ liệu của khách hàng được lưu trữ trên các đám mây và cơ sở dữ liệu khác, để tải xuống dữ liệu đó và tống tiền các công ty.
Người phát ngôn của Klue, Katie Berg, nói với TechCrunch rằng cuộc điều tra của công ty cho đến nay chỉ ra rằng thông tin xác thực được tin tặc sử dụng để đánh cắp dữ liệu của khách hàng “ban đầu được cung cấp cho bên thứ ba vào năm 2022, cho một chương trình thí điểm có giới hạn”.
Khi được TechCrunch hỏi, Klue sẽ không giải thích mục đích của chương trình thí điểm, nó đã chạy trong bao lâu hoặc xác định bên thứ ba mà công ty đã cấp chứng chỉ cho. Klue cũng không chia sẻ lý do tại sao chứng chỉ không bị thu hồi sau khi kết thúc chương trình thí điểm.
Klue đã không trả lời các email tiếp theo về vụ việc trước khi xuất bản.
Các câu hỏi vẫn còn về vụ việc khi công ty cho biết cuộc điều tra đang tiếp tục.
Klue chưa cho biết loại thông tin xác thực nào đã bị đánh cắp, chỉ nêu rõ trong một bài đăng trên blog rằng đó là “thông tin xác thực kế thừa được liên kết với dịch vụ tích hợp”. Klue cũng không cho biết liệu thông tin xác thực có phải là tên người dùng và mật khẩu của nhân viên hay không, hay công ty tin rằng thông tin xác thực đã bị đánh cắp từ bên thứ ba chứ không phải từ hệ thống của chính họ.
Những chi tiết này có thể rất quan trọng để hiểu cách thức vi phạm được thực hiện — và cách ngăn chặn sự cố lặp lại.
Tuyên bố của Klue với TechCrunch nói thêm rằng công ty đang “tiến hành đánh giá toàn diện về quản lý thông tin xác thực, kiểm soát quyền truy cập của nhà cung cấp, khả năng giám sát và quy trình bảo mật triển khai”, không cung cấp thêm thông tin chi tiết.
Một nhóm hack có tên Icarus đã nhận trách nhiệm về vụ vi phạm trên trang web rò rỉ dữ liệu của mình và đã công khai đe dọa sẽ tiết lộ dữ liệu bị đánh cắp nếu tiền chuộc không được trả.
Klue chưa cho biết liệu họ có liên hệ với tin tặc hay không hoặc có kế hoạch đáp ứng yêu cầu của họ hay không.
Bạn có biết thêm về cuộc tấn công mạng Klue không? Bạn có phải là công ty bị ảnh hưởng bởi vi phạm? Chúng tôi rất mong nhận được phản hồi từ bạn. Để liên hệ với Zack Whittaker một cách an toàn, hãy liên hệ qua Signal theo tên người dùng zackwhittaker.1337.
Khi bạn mua hàng thông qua các liên kết trong bài viết của chúng tôi, chúng tôi có thể kiếm được một khoản hoa hồng nhỏ. Điều này không ảnh hưởng đến tính độc lập biên tập của chúng tôi.