Klue-hack treft Huntress, HackerOne en 3 andere beveiligingsbedrijven

Klue-hack treft Huntress, HackerOne en 3 andere beveiligingsbedrijven

Een inbreuk bij het marktinformatieplatform Klue heeft een supply chain-incident met datalekken bij cybersecuritybedrijven veroorzaakt, waarbij enkele van de bekendste namen in de sector zijn getroffen. Huntress, HackerOne, Jamf, Recorded Future en Tanium hebben allemaal bevestigd dat er gegevens zijn gestolen als direct gevolg van de eerdere inbreuk bij Klue. Het incident is een scherpe herinnering dat zelfs organisaties waarvan het hele bedrijfsmodel is gebouwd op het beschermen van anderen, ten val kunnen worden gebracht door een leverancier die ze vertrouwden.

Welke cybersecuritybedrijven zijn getroffen en welke gegevens zijn buitgemaakt

De vijf bevestigde slachtoffers bestrijken een breed deel van de cybersecuritysector. Huntress richt zich op managed detection and response voor kleine en middelgrote bedrijven. HackerOne beheert een van 's werelds meest gebruikte platforms voor bugbounty's en het melden van kwetsbaarheden. Jamf is gespecialiseerd in Apple-apparaatbeheer voor zakelijke klanten. Recorded Future is een prominente aanbieder van dreigingsinformatie. Tanium levert endpointbeheer en beveiliging op grote schaal.

Alle vijf zijn klant van Klue. Klue is een marktinformatieplatform dat bedrijven helpt om de activiteiten van concurrenten te volgen en doorgaans gegevens uit een reeks gekoppelde zakelijke tools verzamelt. Die connectiviteit is precies wat het tot een waardevol doelwit maakte. Omdat Klue geautoriseerde integraties had met de systemen van zijn klanten, kon een inbreuk bij Klue worden gebruikt als springplank naar de omgevingen van die klanten, zonder die klanten ooit rechtstreeks aan te vallen.

Welke gegevens precies bij elk bedrijf zijn gestolen, is niet volledig bekendgemaakt, maar de blootstelling betrof klantgerichte bedrijfssystemen en niet zozeer puur interne operationele infrastructuur.

Hoe de inbreuk bij Klue uitgroeide tot een supply chain-aanval op beveiligingsleveranciers

De manier waarop dit vanuit één marktonderzoeksbureau uitrolde naar vijf cybersecuritybedrijven illustreert precies waarom supply chain-aanvallen zo aantrekkelijk zijn geworden voor dreigingsactoren. In plaats van een goed beveiligde security-leverancier rechtstreeks te doorbreken, compromitteert een aanvaller een zwakker stroomopwaarts doelwit dat al over de sleutels beschikt.

In het geval van Klue betrof de aanvalsvector een OAuth-kwetsbaarheid, waardoor een dreigingsgroep ongeautoriseerde toegang kreeg tot gekoppelde Salesforce CRM-gegevens. Zoals eerder beschreven in berichtgeving over de Klue OAuth-inbreuk die diefstal van Salesforce CRM-gegevens mogelijk maakte, maakte de als "Icarus" bekende dreigingsgroep misbruik van deze authenticatiefout om lateraal te bewegen naar de Salesforce-omgevingen van meerdere Klue-klanten. Eenmaal in die CRM-systemen hadden de aanvallers toegang tot gestructureerde bedrijfsgegevens die bedrijven doorgaans als zeer gevoelig behandelen: klantdossiers, pipeline-informatie, dealhistorie en accountcontacten.

Dit is een schoolvoorbeeld van een supply chain-compromis. De getroffen organisaties deden technisch gezien niets verkeerd bij het beveiligen van hun eigen infrastructuur. Hun blootstelling kwam volledig voort uit het vertrouwen in een derde partij die op haar beurt de OAuth-integraties die ze beheerde onvoldoende beschermde.

Waarom beveiligingsbedrijven hoogwaardige doelwitten zijn voor dreigingsactoren

Het lijkt misschien niet voor de hand liggend dat een dreigingsactor het specifiek op cybersecuritybedrijven gemunt heeft. Deze organisaties hebben deskundige professionals in dienst, hanteren volwassen beveiligingsprogramma's en bouwen vaak juist de tools die worden gebruikt om aanvallen te detecteren en erop te reageren.

Maar die expertise snijdt aan twee kanten. Beveiligingsbedrijven bezitten buitengewoon gevoelige gegevens. Het platform van HackerOne bevindt zich bijvoorbeeld op het kruispunt van kwetsbaarheidsonderzoek en gecontroleerde openbaarmaking. Recorded Future verzamelt dreigingsinformatie die, in verkeerde handen, kan onthullen wat verdedigers wél en niet weten over actieve dreigingen. Huntress heeft diepgaand inzicht in de netwerken van duizenden kleine bedrijven. Een tegenstander die toegang tot een van deze systemen krijgt, verkrijgt niet alleen gegevens, maar ook strategische inlichtingen over het bredere beveiligingsecosysteem.

Bovendien zijn beveiligingsleveranciers vaak ingrijpend geïntegreerd in klantomgevingen, juist omdat hun producten geprivilegieerde toegang nodig hebben om hun werk te kunnen doen. Die integratie creëert meer aanvalsoppervlak, niet minder. De bedrijven die in het Klue-incident zijn getroffen, werden niet via hun eigen producten gecompromitteerd, maar de waarde van wat via hun CRM-systemen toegankelijk was, was waarschijnlijk groot genoeg om de inspanning de moeite waard te maken.

Dit patroon weerspiegelt ook andere spraakmakende supply chain-incidenten waarbij tussenliggende leveranciers als ingangspunt dienden voor verder goed beveiligde organisaties. Marktonderzoeks- en concurrentie-informatieplatforms, die routinematig verbinding maken met CRM- en verkooptools om gegevens te verzamelen en te analyseren, vormen een opkomende risicocategorie die veel beveiligingsteams historisch gezien niet hebben geprioriteerd in hun leveranciersbeoordelingen.

Wat dit voor jou betekent

Als je werkt bij of met een van de getroffen bedrijven, is de eerste stap om na te gaan of jouw accountgegevens of bedrijfsinformatie zich bevonden in de Salesforce-omgevingen waartoe toegang is verkregen. Neem rechtstreeks contact op met de leverancier en vraag om details over welke categorieën gegevens zijn blootgesteld.

Meer in het algemeen versterkt dit incident een aantal concrete werkwijzen voor elke organisatie die haar eigen risicoblootstelling evalueert:

• Controleer je OAuth- en integraties van derden regelmatig. Elk platform dat mag koppelen met je CRM, e-mail of zakelijke tools heeft een vertrouwensrelatie die moet worden beoordeeld en beperkt tot de minimaal benodigde machtigingen.
• Segmenteer toegang streng. Leveranciers mogen alleen toegang krijgen tot de gegevens die ze nodig hebben voor hun specifieke functie. Een marktinformatietool die gegevens over concurrentiepositie bijhoudt, heeft geen volledige CRM-toegang nodig.
• Pas een gelaagde beveiligingsstrategie toe op je hele leveranciersstack. Eén enkele beveiligingsmaatregel is onvoldoende. Het combineren van monitoring, toegangscontroles en anomaliedetectie over leveranciersintegraties heen beperkt de impact van elk afzonderlijk lek.
• Beschouw je leverancierslijst als onderdeel van je aanvalsoppervlak. Elke SaaS-tool waarmee jouw organisatie verbinding maakt, is een potentieel ingangspunt. Periodieke controles van welke leveranciers over welke inloggegevens beschikken, kunnen onverwachte blootstelling aan het licht brengen voordat een aanvaller dat doet.

Het Klue-incident is een nuttige casestudy van hoe supply chain-aanvallen in de praktijk werken. De aanvallers hoefden Huntress of HackerOne niet op hun eigen terrein te verslaan. Ze vonden een zwakker ingangspunt, buitten het uit en namen mee wat er lag. Voor privacybewuste gebruikers én voor veiligheidsgerichte organisaties is de les dat je beveiligingsniveau slechts zo sterk is als de zwakste integratie in je leveranciersecosysteem. Die verbindingen nu controleren, voordat het volgende incident zich voordoet, is het meest praktische wat elke organisatie kan doen.