Перейти к основному содержанию

ИБ-компании стали жертвами кибератаки на Klue

16 июля 2026

Ряд компаний пострадали в результате кибератаки на поставщика платформы Klue. Кибератака началась с того, что злоумышленники использовали старые учетные данные, связанные с интеграционными сервисами Klue.

Ряд компаний в июне сообщили о том, что стали жертвами взлома канадской фирмы Klue, поставщика AI-платформы для конкурентной разведки. Среди жертв инцидента оказались компании, занимающиеся информационной безопасностью: Huntress, Recorded Future, Jamf, Tanium и другие. Все они подтвердили, что кибератака позволила хакерам получить несанкционированный доступ к их учетным записям CRM-платформы Salesforce с помощью украденных токенов OAuth, используемых для интеграции с Klue.

Согласно заявлению генерального директора Klue Джейсона Смита (Jason Smith) от 19 июня, компания зафиксировала инцидент ИБ 12 июня. Злоумышленник получил доступ к интеграционной инфраструктуре Klue, в частности к приложению Klue Battlecards, с помощью устаревших учетных данных, которые были выданы интеграционному подрядчику еще в 2022 году в рамках пилотного проекта. Далее хакер использовал эту «учетку» для получения токенов OAuth — защищенных цифровых ключей, позволяющих приложению получать доступ к данным компании в другом сервисе без необходимости ввода пароля.

Посредством токенов OAuth хакер подключился к средам Salesforce ряда клиентов компании Klue. Прежде чем действия нарушителя были обнаружены и пресечены, он успел похитить конфиденциальные данные.

Смит утверждает, что специалисты Klue смогли оперативно отозвать скомпрометированные учетные данные и полученные злоумышленником токены, отключив затронутые им интеграционные связи.

В свою очередь, в Salesforce заявили, что 17 июня они отключили интеграцию с Klue Battlecard.

Пострадавшие киберфирмы Huntress, Recorded Future, Jamf и Tanium в своих блогах сообщили, что, хотя утечка информации произошла через инфраструктуру Klue, их собственные продукты и сервисы не были затронуты в ходе инцидента. Однако компания Huntress предупредила, что могли быть скомпрометированы данные ее клиентов, включая названия компаний, тестируемые/используемые продукты, сведения о подписках, контактную информацию, а также сообщения в рамках маркетинговых проектов и процессов продаж.

«Этот инцидент подчеркивает критическую необходимость постоянного мониторинга сторонних интеграций, особенно тех, которые имеют привилегированный доступ к конфиденциальным данным», — подчеркнули в компании Recorded Future.

Первыми инцидент в Klue выявили эксперты компании ReliaQuest. При этом они отметили, что их организация не использует платформу Klue и не пострадала от взлома.

Комментируя то, как хакеры использовали токены OAuth для проникновения в подключенные среды Salesforce, компания ReliaQuest заявила: «Способность злоумышленника перемещаться от скомпрометированной интеграции к CRM клиента демонстрирует эволюцию тактики современных злоумышленников».

Помимо ряда компаний, которые специализируются на кибербезопасности, пострадали организации из других отраслей, включая страховую компанию Insurity и платформу анализа социальных сетей Sprout Social.

Жертвами атаки на цепочку поставок Klue также стали разработчики менеджера паролей LastPass. Хакеры получили доступ к именам, номерам телефонов, адресам электронной почты, а также тикетам обращений в службу технической поддержки и документам, связанным с продажами. В LastPass подчеркивают, что собственная инфраструктура компании не пострадала.

Ответственность за кибератаку на Klue и ее клиентов взяла хакерская группировка Icarus. В сфере киберпреступности она впервые заявила о себе в конце апреля 2026 г. По данным сервиса отслеживания программ-вымогателей Ransomware.live, до атаки на клиентов Klue представители Icarus сообщали о трех жертвах своих атак. 

Аналитика ИБ – это новые исследования каждый месяц
В отчётах есть данные, тенденции, выводы, которые необходимы в работе
Все утечки