Klue 遭黑客攻击，波及 Huntress、HackerOne 等五家安全公司

Klue 遭黑客攻击，波及 Huntress、HackerOne 等五家安全公司

市场情报平台 Klue 的数据泄露事件引发了一起网络安全公司数据泄露供应链事件，影响了业内一些最知名的公司。Huntress、HackerOne、Jamf、Recorded Future 和 Tanium 均证实，其数据失窃是此前 Klue 遭入侵的直接后果。这一事件清楚地提醒人们，即便是整个商业模式都建立在保护他人基础上的组织，也可能因其所信赖的供应商而遭受重创。

哪些网络安全公司受到波及，哪些数据被盗

已确认的五家受害公司涵盖了网络安全领域的各个方面。Huntress 专注于为中小型企业提供托管检测和响应服务。HackerOne 运营着全球使用最广泛的漏洞赏金和漏洞披露平台之一。Jamf 专门为企业客户提供 Apple 设备管理服务。Recorded Future 是一家著名的威胁情报提供商。Tanium 则大规模提供终端管理和安全服务。

这五家公司都是 Klue 的客户。Klue 是一个市场情报平台，可帮助企业追踪竞争对手动态，通常会从一系列关联的业务工具中获取数据。正是这种连接性使其成为高价值目标。由于 Klue 已获得与其客户系统集成的授权，Klue 遭入侵就可能被武器化，成为进入这些客户环境的跳板，而无需直接攻击这些客户本身。

从每家公司窃取的具体数据尚未完全披露，但此次泄露涉及面向客户的业务系统，而非纯粹的内部运营基础设施。

Klue 泄露事件如何演变为针对安全厂商的供应链攻击

从一家市场研究公司波及五家网络安全公司的机制，恰好说明了供应链攻击为何对威胁行为者如此具有吸引力。攻击者无需直接攻破防护严密的的安全厂商，而是入侵一个握有密钥、防范较弱的上游目标。

在 Klue 案例中，攻击向量涉及一个 OAuth 漏洞，该漏洞允许一个威胁组织未经授权访问已连接的 Salesforce CRM 数据。正如早前关于 Klue OAuth 漏洞导致 Salesforce CRM 数据被盗的报道所述，名为“Icarus”的威胁组织利用这一身份验证缺陷，横向移动至多个 Klue 客户的 Salesforce 环境。一旦进入这些 CRM 系统，攻击者就能获取公司通常视为高度敏感的结构化业务数据：客户记录、销售管道信息、交易历史以及客户联系人。

这是一次教科书式的供应链入侵。受害组织在如何保护自身基础设施方面并没有技术上的失误。他们的暴露完全是因为信任了一个第三方，而该第三方未能充分保护其管理的 OAuth 集成。

为何安全公司成为威胁行为者的高价值目标

威胁行为者专门针对网络安全公司，这似乎有悖常理。这些组织聘用了专业的安全人员，拥有成熟的安全计划，并且常常构建用于检测和响应攻击的工具本身。

但这种专业性也是双刃剑。安全公司掌握着极其敏感的数据。例如，HackerOne 的平台处于漏洞研究和企业披露的交汇点。Recorded Future 汇总的威胁情报，若落入坏人之手，可能揭示防御者对活跃威胁已知和未知的信息。Huntress 对数千家小企业的网络具有深度可见性。能够访问这些系统中任何一个的对手，获得的不仅是数据，还有关于更广泛安全生态系统的战略情报。

此外，安全厂商的产品往往需要特权访问才能完成工作，因此它们通常深度集成到客户环境中。这种集成创造了更多的攻击面，而非更少。Klue 事件中被针对的公司并非通过自身产品遭入侵，但通过其 CRM 系统可获取的数据价值可能足够大，使攻击的努力物有所值。

这一模式也与其他备受瞩目的供应链事件相呼应，在这些事件中，中间供应商作为进入原本防护良好的组织的入口。市场研究和竞争情报平台通常会连接到 CRM 和销售工具以摄取和分析数据，它们代表了一种新兴的风险类别，而许多安全团队在供应商评估中历来未将其列为优先事项。

这对您意味着什么

如果您在任何受影响的公司工作或与其有业务往来，当务之急是核实您的账户数据或业务信息是否存储在被访问的 Salesforce 环境中。直接联系相关厂商，要求说明哪些类别的数据遭到了泄露。

从更广泛层面来看，这一事件为任何评估自身风险敞口的组织强化了几项具体实践：

• 定期审计您的 OAuth 及第三方集成。 任何经授权可连接到您的 CRM、邮件或业务工具的平台，都建立了一种信任关系，需要定期审查，并将其权限范围限定在必需的最低限度。
• 严格执行访问权限分段。 供应商应仅能访问其执行特定功能所需的数据。需要竞争对手跟踪数据的市场情报工具，并不需要完全的 CRM 访问权限。
• 在整个供应商体系中应用纵深防御策略。 单一的安全控制措施是不够的。在供应商集成中叠加监控、访问控制和异常检测，可减少任何单次入侵的爆炸半径。
• 将您的供应商列表视为攻击面的一部分。 组织连接的每个 SaaS 工具都是一个潜在的入侵点。定期审查哪些供应商持有哪些访问凭证，可在攻击者之前发现意外的风险敞口。

Klue 事件为供应链攻击在实践中的运作方式提供了有益案例。攻击者无需在 Huntress 或 HackerOne 擅长的游戏中击败它们。他们找到了一个更薄弱的入口点，加以利用并收集了那里的数据。对于注重隐私的用户和具有安全意识的组织而言，教训是：您的安全态势，仅与供应商生态系统中集成最薄弱的一环同样坚固。现在就在下一次事件发生之前审查这些连接，是任何组织所能采取的最具行动性的措施。