Vụ tấn công Klue: Dữ liệu bị đánh cắp đang được xóa, nhưng mối đe dọa mới lại xuất hiện

Klue, đơn vị cung cấp dịch vụ nghiên cứu thị trường, vừa thông báo về những diễn biến mới liên quan đến vụ tấn công mạng xảy ra vào ngày 12/6 vừa qua. Theo thông tin từ công ty, họ đang duy trì liên lạc với nhóm hacker có tên ‘Icarus’ – thủ phạm đứng sau vụ xâm nhập khiến dữ liệu của nhiều khách hàng bị đánh cắp.

Đáng chú ý, Klue cho biết nhóm Icarus đã bắt đầu thực hiện các bước để xóa bỏ số dữ liệu đã lấy cắp. Hiện tại, trang web của Icarus đã ngừng hoạt động, củng cố thêm niềm tin của Klue về việc nhóm này đang thực hiện cam kết của mình.

Tuy nhiên, tình hình trở nên phức tạp hơn khi một nhóm hacker khác xuất hiện. Theo thông tin từ Icarus, nhóm thứ hai này đang cố gắng tống tiền trực tiếp các khách hàng của Klue. Nhóm này tuyên bố đã chiếm được dữ liệu của Klue từ chính Icarus và công khai danh sách các công ty bị ảnh hưởng trên trang web riêng, đồng thời đưa ra yêu cầu đòi tiền chuộc với lời đe dọa sẽ rò rỉ dữ liệu nếu không được đáp ứng.

Về phía Klue, công ty đã khuyến cáo khách hàng không nên thực hiện bất kỳ khoản thanh toán nào cho nhóm hacker thứ hai này. Klue cũng gợi ý các khách hàng bị nhắm đến nên yêu cầu nhóm này cung cấp một mẫu dữ liệu ngẫu nhiên để xác minh xem họ có thực sự nắm giữ thông tin bị đánh cắp hay không.

Trước đó, Klue xác nhận vụ xâm nhập bắt nguồn từ việc hacker khai thác một thông tin đăng nhập của bên thứ ba từ năm 2022. Kẻ tấn công đã sử dụng quyền truy cập này để lấy cắp các OAuth token, từ đó xâm nhập vào hệ thống cloud và cơ sở dữ liệu của khách hàng. Danh sách các khách hàng bị ảnh hưởng bao gồm nhiều tên tuổi lớn trong ngành công nghệ như LastPass, Snyk, HackerOne, Jamf, và nhiều đơn vị khác.

Hiện tại, Klue vẫn chưa đưa ra thêm chi tiết về việc tại sao thông tin đăng nhập cũ từ năm 2022 vẫn tồn tại và chưa được thu hồi trước khi xảy ra vụ việc.

Nguồn tham khảo: TechCrunch