市场研究公司Klue近日确认,黑客本月初利用一个可追溯至2022年的历史凭证,成功窃取了多家企业客户的大量数据,受害者中包括数家网络安全公司。
这一新披露的细节引发外界质疑:Klue或许早有机会在数年间注销这一用于有限试点项目的凭证,却始终未采取行动,其安全管理体系存在明显漏洞。
这家总部位于温哥华的公司于6月12日发现入侵行为,并于上周五首次公开披露。此次攻击波及多名客户,包括密码管理软件厂商LastPass及多家网络安全企业。黑客通过入侵Klue系统,获取了客户存储在其他云服务和数据库中的OAuth令牌访问密钥,进而下载相关数据,并以此对各企业实施勒索。
Klue发言人凯蒂·伯格(Katie Berg)在接受TechCrunch采访时表示,目前调查结果显示,黑客所使用的凭证"最初于2022年提供给某第三方,用于一项有限范围的试点项目"。
然而,面对TechCrunch的追问,Klue拒绝说明该试点项目的具体用途、持续时长,以及获得凭证的第三方身份。该公司同样未能解释,为何在试点项目结束后未及时吊销该凭证。在文章发布前,Klue也未回复TechCrunch的后续采访邮件。
目前,调查工作仍在进行中,诸多关键问题悬而未决。
Klue至今未披露被盗凭证的具体类型,仅在一篇博客文章中将其描述为"与某集成服务关联的历史遗留凭证"。该公司也未说明被盗的究竟是员工账号密码,还是该凭证系从第三方处遭窃,而非直接从其自身系统流出。这些细节对于还原攻击路径、防范类似事件再次发生至关重要。
Klue在声明中表示,公司正在"对凭证管理、供应商访问控制、监控能力及部署安全流程开展全面审查",但未透露进一步细节。
一个名为"Icarus"的黑客组织已在其数据泄露网站上宣称对此次攻击负责,并公开威胁称,若赎金要求未获满足,将公开所窃取的数据。
目前,Klue未透露是否已与黑客方面取得联系,也未表明是否计划支付赎金。
Q&A
Q1:Klue数据泄露事件是怎么发生的?
A:黑客利用Klue一个可追溯至2022年的历史凭证入侵其系统,该凭证原本是为一项有限范围试点项目提供给某第三方的。黑客通过该凭证获取了Klue系统中存储的OAuth令牌,进而访问并下载了多家企业客户存储在其他云服务和数据库中的数据,随后对相关公司实施勒索。Klue于2025年6月12日发现入侵行为。
Q2:哪些公司受到了Klue数据泄露事件的影响?
A:目前已确认受影响的客户包括密码管理软件厂商LastPass,以及其他数家网络安全公司。由于Klue存储着客户访问第三方云服务的OAuth令牌密钥,一旦Klue系统被攻破,黑客便可借此进一步渗透这些客户的数据存储系统,导致数据大范围外泄。
Q3:Klue为什么没有及时注销2022年的历史凭证?
A:Klue目前尚未就此给出明确解释。该公司发言人仅表示该凭证"最初于2022年提供给某第三方用于试点项目",但拒绝说明项目详情、持续时长及第三方身份,也未解释试点结束后为何未吊销该凭证。目前公司正在对凭证管理和供应商访问控制流程开展全面审查。
好文章,需要你的鼓励
美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。
佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。