Klue сообщает, что хакеры, которые украли данные клиентов, удаляют их, но появилась вторая группа с требованиями выкупа.

      TL;DRKlue сообщает, что Icarus удаляет украденные данные, а их сайт недоступен, но вторая группа хакеров утверждает, что она украла данные у Icarus и шантажирует жертв. Klue, компания по рыночной разведке, чья утечка данных в начале этого месяца раскрыла данные клиентов LastPass, HackerOne и почти дюжины других компаний, сообщает, что группа хакеров, ответственная за это, теперь сотрудничает и удаляет украденные данные. Но появилась вторая, неназванная группа хакеров, которая утверждает, что обладает теми же данными и пытается напрямую шантажировать пострадавшие компании, согласно частному обновлению для клиентов, полученному TechCrunch. В сообщении клиентам в четверг вечером Klue сообщила, что находится в контакте с группой хакеров Icarus, которая взломала ее системы 12 июня и украла данные клиентов, используя скомпрометированные учетные данные 2022 года. "Icarus сообщил нам, что они принимают меры для удаления данных, украденных у клиентов Klue", - написала компания, добавив, что сайт Icarus по-прежнему недоступен и есть признаки того, что удаление происходит. Очевидное разрешение ситуации сопровождается значительной сложностью. Согласно Klue, Icarus сообщил компании, что вторая группа хакеров получила украденные данные, предположительно, воспользовавшись ошибкой оператора Icarus. Эта вторая группа разместила список якобы пострадавших компаний на своем сайте и требует оплату от жертв. "Заплатите выкуп, или мы все раскроем, если вы нам не заплатите", - написала вторая группа на своем сайте, где утверждала, что всего 195 клиентов Klue пострадали, согласно TechCrunch. Хакеры также утверждали, что Klue заплатила первоначальному оператору Icarus, которого они описали как подростка из Великобритании. TechCrunch сообщил, что не смог независимо подтвердить утверждение о платеже. Klue сообщила клиентам, что Icarus считает, что вторая группа имеет только образцы данных для подмножества клиентов, а не полный набор данных. Компания также передала поразительное указание от Icarus: она попросила Klue сказать своим клиентам не производить оплату второй группе. Klue предложила пострадавшим клиентам, находящимся в контакте со второй группой, запросить случайный образец данных в качестве доказательства владения. Утечка уже привела к длинному списку подтвержденных жертв. Атаки на цепочку поставок стали определяющим паттерном в 2026 году, и инцидент с Klue следует той же схеме: вместо того чтобы атаковать цели напрямую, хакеры скомпрометировали поставщика, который хранил токены OAuth, предоставляющие доступ к средам Salesforce клиентов. Компании, которые публично подтвердили, что они пострадали, включают Gong, Jamf, HackerOne, Huntress, Insurity, LastPass, OneTrust, Recorded Future, ReliaQuest, Snyk, Sprout Social и Tanium. Klue ранее сообщила, что злоумышленники получили первоначальный доступ, используя учетные данные третьей стороны, созданные в 2022 году в рамках ограниченной пилотной программы. Учетные данные никогда не были отозваны, даже несмотря на то, что интеграция, для которой они были созданы, была заброшена. Klue не установила, кому были назначены учетные данные или почему они оставались активными в течение четырех лет. Ситуация иллюстрирует динамику, которую инциденты кибербезопасности в 2026 году неоднократно демонстрировали: утечки не заканчиваются, когда первоначальный злоумышленник идентифицирован. Украденные данные перемещаются между преступными группами, увеличивая риск шантажа для жертв, которые могут считать, что угроза миновала. Является ли Icarus действительно удаляющим данные или обладает ли вторая группа достаточным объемом для выполнения своих угроз, - это вопросы, на которые клиенты Klue пока не могут ответить с уверенностью. Представитель Klue не ответил на запрос TechCrunch о том, заплатила ли компания Icarus. Сайт Icarus оставался недоступным на утро четверга.