Inzicht in de recente Klue-kwetsbaarheid
Tech-researchbedrijf Klue heeft onthuld dat een oud credential, oorspronkelijk geïntroduceerd in een beperkt pilotproject in 2022, recentelijk werd misbruikt door cybercriminelen. Deze inbreuk leidde tot grootschalige diefstal van klantgegevens, onder andere van de wachtwoordmanager LastPass en verschillende andere beveiligingsbedrijven.
Hoe de aanval werd uitgevoerd
De hackers maakten gebruik van een OAuth‑token dat door Klue werd bewaard. Dankzij dit token konden zij toegang krijgen tot de cloud‑ en database‑omgevingen van Klue‑klanten, waarna ze enorme hoeveelheden data downloadden en de slachtoffers tot losgeld dwongen. De inbraak werd door Klue op 12 juni opgespoord en donderdag publiekelijk bevestigd.
Waarom een oud credential gevaarlijk is
Volgens Klue‑woordvoerder Katie Berg was de sleutel in kwestie “geleverd aan een derde partij in 2022 voor een beperkt pilot”. De exacte duur van de proef, de identiteit van de derde partij en de reden waarom de token na afloop niet werd ingetrokken, blijven onduidelijk. Het feit dat het credential jarenlang bleef bestaan, roept vragen op over de interne beveiligingspraktijken van Klue, met name op het gebied van beheer van toegangsrechten en deactivering van verouderde sleutels.
Respons en vervolgacties
Klue heeft beloofd een grondige evaluatie uit te voeren van credential‑management, vendor‑access controls, monitoring‑mogelijkheden en de beveiliging van implementaties. Er is echter nog geen detail bekendgemaakt over de aard van het credential – of het een gebruikersnaam‑wachtwoord combinatie betrof of een andere vorm van authenticatie.
De hackgroep Icarus heeft zich publiekelijk geclaimd voor de inbraak en dreigt de gestolen data te publiceren tenzij hun losgeld wordt betaald. Klue heeft nog niet gereageerd op eventuele contactpogingen met de hackers en heeft niet aangegeven of zij van plan zijn te voldoen aan de eisen.
Wat bedrijven kunnen leren
Deze gebeurtenis onderstreept het belang van tijdige intrekking van oude en ongebruikte toegangsreferenties, regelmatige audits van derde‑partijrelaties en een robuust monitoring‑systeem om ongebruikelijke activiteiten vroegtijdig te detecteren. Organisaties die afhankelijk zijn van externe integraties dienen strikte levenscyclus‑processen voor credentials op te zetten om soortgelijke incidenten te voorkomen.
Heb je zelf ervaring met deze of een vergelijkbare aanval? Wil je meer informatie delen? Klue nodigt betrokkenen uit om veilig contact op te nemen via Signal (gebruikersnaam zackwhittaker.1337).