هکر‌ها از یک دسترسی قدیمی در Klue به LastPass رسیدند

شرکت Klue می‌گوید هکر‌ها با سوءاستفاده از یک اعتبار دسترسی به‌جامانده از سال ۲۰۲۲، به داده‌های مشتریان این شرکت از جمله LastPass دست یافته‌اند؛ رخدادی که اهمیت حذف دسترسی‌های بلااستفاده را بار دیگر یادآوری می‌کند.

به گزارش پایگاه خبری پایداری ملی به نقل از افتانا، هک شرکت تحقیق بازار Klue به یکی از گسترده‌ترین رخداد‌های زنجیره تأمین سایبری در ماه‌های اخیر تبدیل شده و اکنون ابعاد تازه‌ای از این حادثه فاش شده است. شرکت کانادایی Klue تأیید کرده که هکر‌ها با سوءاستفاده از یک اعتبار دسترسی قدیمی متعلق به سال ۲۰۲۲ توانسته‌اند به سیستم‌های این شرکت نفوذ کرده و داده‌های مشتریان سازمانی آن را سرقت کنند. این اعتبار دسترسی که در قالب یک پروژه آزمایشی محدود در اختیار یک طرف ثالث قرار گرفته بود، سال‌ها پس از پایان آن پروژه همچنان فعال باقی مانده و مهاجمان در اوایل ژوئن ۲۰۲۶ از آن برای دسترسی به اطلاعات مشتریان استفاده کرده‌اند.

بر اساس تحقیقات اولیه، هکر‌ها پس از ورود به زیرساخت Klue به کلید‌های دسترسی ابری موسوم به OAuth Token دست یافتند؛ کلید‌هایی که امکان دسترسی به داده‌های ذخیره‌شده مشتریان در سرویس‌های ابری و پایگاه‌های داده دیگر را فراهم می‌کرد. مهاجمان سپس حجم قابل توجهی از اطلاعات مشتریان را دانلود کرده و با تهدید به انتشار آنها، اقدام به اخاذی کردند.

در میان قربانیان این حمله نام شرکت مدیریت رمز عبور LastPass و چندین شرکت مطرح حوزه امنیت سایبری از جمله HackerOne، Recorded Future و Tanium دیده می‌شود. LastPass در اطلاعیه‌ای جداگانه اعلام کرد که هرچند زیرساخت‌های داخلی این شرکت و خزانه‌های رمز عبور کاربران هدف قرار نگرفته‌اند، اما اطلاعات شخصی مشتریان و سوابق درخواست‌های پشتیبانی آنها از طریق نفوذ به Klue به سرقت رفته است. داده‌های افشاشده شامل نام، شماره تلفن، آدرس ایمیل، آدرس فیزیکی، اطلاعات فروش و سوابق پرونده‌های پشتیبانی مشتریان بوده است.

نگرانی اصلی کارشناسان درباره محتوای تیکت‌های پشتیبانی است؛ زیرا چنین پرونده‌هایی ممکن است حاوی اطلاعات حساس مربوط به بازیابی حساب‌ها، مشکلات مالی، جزئیات هویتی یا سایر اطلاعات خصوصی کاربران باشند. LastPass هنوز تعداد دقیق افراد آسیب‌دیده را اعلام نکرده است.

افشای این که اعتبار دسترسی مورد استفاده مهاجمان از سال ۲۰۲۲ باقی مانده بود، پرسش‌های جدی درباره شیوه مدیریت دسترسی‌ها و سیاست‌های امنیتی Klue ایجاد کرده است. این شرکت از ارائه جزئیات درباره ماهیت پروژه آزمایشی، هویت طرف ثالث دریافت‌کننده اعتبار دسترسی و دلیل لغو نشدن این دسترسی پس از پایان پروژه خودداری کرده است. همچنین هنوز مشخص نیست این اعتبار از سیستم‌های Klue به سرقت رفته یا از طریق همان طرف ثالث در اختیار مهاجمان قرار گرفته است.

گروه باج‌افزاری و اخاذی «Icarus» مسئولیت این حمله را بر عهده گرفته و تهدید کرده است در صورت پرداخت نشدن باج، اطلاعات سرقت‌شده را به‌صورت عمومی منتشر خواهد کرد. Klue تاکنون اعلام نکرده که آیا با مهاجمان در تماس بوده یا قصد پرداخت باج را دارد. این شرکت تنها گفته است که در حال بازبینی کامل فرآیند‌های مدیریت اعتبارنامه‌ها، کنترل دسترسی تأمین‌کنندگان، سامانه‌های پایش امنیتی و رویه‌های استقرار سرویس‌های خود است.

این حادثه در حالی رخ می‌دهد که LastPass هنوز با پیامد‌های نقض امنیتی بزرگ سال ۲۰۲۲ دست‌وپنجه نرم می‌کند؛ رخدادی که طی آن نسخه‌ای از خزانه‌های رمز عبور کاربران به سرقت رفت و بعد‌ها برخی سرقت‌های رمزارزی به شکستن رمز‌های اصلی ضعیف و دسترسی به اطلاعات ذخیره‌شده در این خزانه‌ها نسبت داده شد. مجموعه این رویداد‌ها بار دیگر اهمیت مدیریت صحیح دسترسی‌های قدیمی، حذف به‌موقع اعتبارنامه‌های بلااستفاده و نظارت مستمر بر زنجیره تأمین فناوری را برجسته کرده است.

مشتریان Klue شرکت نرم‌افزاری کانادایی معمولاً شرکت‌های بزرگ فناوری، امنیت سایبری، نرم‌افزاری و سازمان‌های B۲B هستند. به همین دلیل در حادثه اخیر، شرکت‌هایی مانند LastPass، HackerOne و Tanium تحت تأثیر نفوذ به زیرساخت‌های Klue قرار گرفتند؛ زیرا بخشی از داده‌ها و یکپارچه‌سازی‌های ابری آنها از طریق این پلتفرم مدیریت می‌شد.