Pazar araştırması şirketi Klue, dört yıl önce bir pilot programa yönelik olarak sağlanan kimlik bilgilerinin, bu ay başında bilgisayar korsanları tarafından kullanılarak şirketin kurumsal müşterilerinin büyük miktarda verilerinin çalınmasını sağladığını doğrulamıştır. Olay, şirketin güvenlik uygulamalarına ilişkin ciddi soruları gündeme getirmektedir.

Dört Yıllık Gecikme ve Güvenlik Açıkları

Vancouver merkezli Klue, 12 Haziran'da tespit ettiği ve geçtiği hafta ilk kez kamuya duyurduğu saldırıyla ilgili olarak, hacamaçın 2022 yılında sınırlı bir pilot proje kapsamında üçüncü bir tarafa verilen eski bir kimlik bilgisini kullanarak şirket sistemlerine erişim sağladığını açıklamıştır. Bu aradan geçen dört yıl boyunca kimlik bilgisinin iptal edilmemiş olması, şirketin erişim yönetiminde önemli boşluklar olduğunu göstermektedir. Klue yetkilisi Katie Berg, söz konusu kimlik bilgisinin pilot programın amacı, süresi veya hangi üçüncü tarafa verildiği konusunda ayrıntı vermekten kaçınmıştır.

Saldırının Kapsamı ve Kullanılan Araçlar

Korsanlar Klue'nin sistemlerine erişim kazanarak, müşterilerin verilerine ulaşmak için kullanılan OAuth tokenları olarak bilinen anahtarları kullanmışlardır. Bu sayede şifre yöneticisi LastPass ve diğer birkaç siber güvenlik şirketi de dahil olmak üzere birden fazla müşterinin verileri indirilmiş ve şantaj konusu yapılmıştır. İcarus adlı bir hacker grubu saldırının sorumluluğunu üstlenerek veri sızıntısı sitesinde özür veri yayınlanmış ve fidye ödenmezse verilerin serbest bırakılacağı tehdidinde bulunmuştur.

Soruların Devam Etmesi ve Eksik Açıklamalar

Klue, ele geçirilen kimlik bilgisinin tam niteliği konusunda net bir açıklama yapamamıştır ve bunun bir entegrasyon hizmetinin eski kimlik bilgisi olduğunun ötesinde detay sunmamıştır. Şirket, kimlik bilgisinin çalışan adı ve parolası gibi basit bir erişim aracı mı yoksa üçüncü tarafın sistemlerinden mi sızdırıldığı sorularına da cevap vermemiştir. Şirket, kimlik bilgisi yönetimi, satıcı erişim kontrolleri, izleme yetenekleri ve dağıtım güvenliği süreçlerinin kapsamlı bir incelemesi yapacağını belirtmiş ancak daha fazla ayrıntı vermemiştir. Klue'nin korsanlarla temas kurup kurmadığı ve fidye talebine cevap verip vermeyeceği konusunda da herhangi bir açıklama yapılmamıştır.