Klue 这起客户数据外泄,正在从一次入侵变成一场更难收口的勒索链条。公司6月25日私下通知客户称,它仍在与最初接触的黑客组织 Icarus 沟通,对方告诉 Klue 正在删除从 Klue 客户那里拿走的数据;Icarus 的网站也已下线。可同一时间,Klue 还在提醒客户,另一个团伙已经跳出来,直接拿着“样本数据”向受害者施压。
Icarus 似乎在退场,但这不等于风险消失
Klue 6月12日确认遭入侵,黑客窃取了客户数据。随后,Gong、Jamf、HackerOne、Huntress、Insurity、LastPass、OneTrust、Recorded Future、ReliaQuest、Snyk、Sprout Social 和 Tanium 等客户都公开承认受影响。到目前为止,Klue看到的是一些“缓和”信号:Icarus 站点下线,对方还声称在删除数据。
但这些信号的分量有限。站点下线只说明公开勒索平台不再可见,不代表数据真的被销毁;黑客口头承诺删除,也不构成可验证证据。对客户而言,真正该盯的是数据是否已经被转手、复制,或者流向了其他勒索者。
| 事实锚点 | 现在意味着什么 | 仍未确认的部分 |
|---|---|---|
| 6月12日入侵被确认 | 泄露窗口已经打开 | 具体被拿走多少数据 |
| Icarus 站点下线 | 第一轮公开施压可能减弱 | 数据是否真的被删除 |
| 多家客户公开受影响 | 这不是单一客户事故 | 完整受影响名单 |
第二个团伙出现后,Klue案开始变得更难核验
Klue说,Icarus告诉它,有另一个团伙在直接勒索客户。这个未命名团伙在自己的网站上列出了一批所谓受影响公司,还声称自己是从 Icarus 手里拿到了 Klue 客户数据。他们甚至宣称,Klue 付钱给了一名“住在英国或附近国家的少年黑客”,并以此失误为线索接触到存放数据的服务器。
这些说法目前都没有独立核实。TechCrunch 也没有确认 Klue 是否付过钱,Klue 方面则建议客户,如果被第二团伙接触到,可以要求对方提供一份随机样本来核验真假。这个建议很现实:一旦数据被多个团伙接力,单靠“我有你的数据”已经不能说明什么,样本、时间戳、字段一致性才是判断筹码是否真实的办法。
这也是这起事件最麻烦的地方。和传统勒索软件不同,这类 SaaS 供应链泄露不是“一次入侵、一次要价”那么简单。黑客拿到的是客户云和数据库的登录钥匙,而不是一份静态文件;钥匙一旦被复制,后面就可能出现转卖、分赃、再勒索。
真正的入口,是那枚2022年的旧凭证
Klue此前披露,攻击者是先利用一枚2022年的第三方凭证进入系统。那是一枚来自有限试点的凭证,后来黑客再借助访问权限窃取 OAuth token,进而登录客户的云和数据库。Klue至今没有说明这枚凭证具体属于谁,也没有解释它为什么四年里都没有被撤销。
这才是安全团队最该记住的部分。很多企业盯着供应商的主系统,却忽略了早年试点留下的第三方凭证、OAuth 授权和长期有效的集成权限。Klue这次不是“新漏洞”打穿了防线,而是旧入口没有关严。对仍在使用 Klue 的客户来说,接下来要做的不是等一份更漂亮的通报,而是立刻核查与 Klue 相关的 token、集成权限和异常登录记录,看看自己的云和数据库是否也被卷了进去。