Nền tảng tình báo cạnh tranh Klue của Canada đã xác nhận rằng họ đã phải chịu một cuộc tấn công mạng dẫn đến việc truy cập trái phép vào dữ liệu do một số khách hàng của họ lưu trữ. Vụ việc một lần nữa minh họa những rủi ro liên quan đến dịch vụ của bên thứ ba được kết nối với môi trường đám mây của công ty, đặc biệt là cơ sở dữ liệu Salesforce.
Mã thông báo OAuth bị đánh cắp qua kết nối cũ
Theo Klue, vụ xâm nhập được phát hiện vào ngày 12 tháng 6 năm 2026 và được cho là xuất phát từ thông tin xác thực cũ bị xâm phạm liên quan đến dịch vụ tích hợp. Những kẻ tấn công sau đó được cho là đã khôi phục mã thông báo OAuth được sử dụng để kết nối nền tảng với các công cụ đám mây của khách hàng trước khi truy cập một số dữ liệu nhất định được lưu trữ trong môi trường được kết nối.
Trong thông tin liên lạc của mình, công ty chỉ ra rằng kẻ tấn công đã khai thác một “thông tin đăng nhập cũ bị xâm phạm” để có được những giấy phép này. Klue kể từ đó đã vô hiệu hóa các tích hợp bị ảnh hưởng và ủy quyền cho CrowdStrike hỗ trợ ứng phó sự cố.
Huntress, Recorded Future, Snyk và các công ty bị ảnh hưởng khác
Một số công ty đã xác nhận rằng họ bị ảnh hưởng, bao gồm Huntress, Recorded Future, HackerOne, Jamf, Snyk, OneTrust, Tanium, Gong và Sprout Social. Dữ liệu được tư vấn hoặc lọc ra chủ yếu liên quan đến thông tin chuyên môn: tên, địa chỉ email, số điện thoại, chức năng, chi tiết tài khoản khách hàng và thông tin thương mại có trong một số CRM nhất định.
Nhóm tội phạm mạng Icarus tuyên bố chịu trách nhiệm về hoạt động này và đe dọa sẽ công bố dữ liệu bị đánh cắp nếu không được thanh toán. Tuy nhiên, tuyên bố này phải được phân biệt với các yếu tố đã được Klue và các công ty bị ảnh hưởng chính thức xác nhận.
Một cuộc tấn công chuỗi cung ứng kỹ thuật số
Thay vì nhắm mục tiêu riêng biệt vào từng nạn nhân, những kẻ tấn công nhắm mục tiêu vào một trung gian có kết nối với nhiều hệ thống máy khách. Phương pháp này biến một thỏa hiệp duy nhất thành một điểm xâm nhập tiềm năng cho nhiều tổ chức.
Vụ việc này như một lời nhắc nhở rằng tính bảo mật của các ứng dụng SaaS không chỉ phụ thuộc vào mật khẩu và xác thực nội bộ. Việc nhanh chóng thu hồi quyền truy cập cũ, kiểm tra tích hợp OAuth và giới hạn các đặc quyền được cấp cho dịch vụ của bên thứ ba trở nên cần thiết khi các doanh nghiệp tăng cường kết nối giữa các công cụ đám mây của họ.
