CEVIU Logo
Voltar
Klue afirma que invasores estão apagando dados roubados, mas novo grupo de hackers surge com ameaças
🚨CEVIU Segurança da Informação

Klue afirma que invasores estão apagando dados roubados, mas novo grupo de hackers surge com ameaças

Aprofundamento CEVIU

Aprofundamento

O ataque à Klue expõe uma falha clássica de governança de identidade. Os criminosos usaram uma credencial de terceiros criada em 2022 para um piloto limitado. A permissão ficou ativa por quatro anos sem rotação ou revogação. Com esse acesso inicial, a invasão escalou para a cadeia de suprimentos. O grupo Icarus extraiu chaves OAuth dos clientes e pulou direto para nuvens e bancos de dados. Agora o cenário virou um jogo de duplo blefe. O Icarus afirma estar deletando os arquivos e manteve o site fora do ar. Um segundo coletivo alega ter clonado o servidor após um erro de configuração. Eles listam 195 vítimas e exigem pagamento imediato. A Klue orienta que nenhuma quantia seja transferida e pede validação técnica com amostras aleatórias antes de qualquer decisão.

Por que isso importa

A falha de revogação de credenciais antigas é um vetor direto para ataques à cadeia de suprimentos. Empresas de segurança como LastPass e Snyk foram impactadas porque suas chaves de integração ficaram expostas no ambiente da Klue. O caso reforça a urgência de gerenciar ciclos de vida de tokens OAuth e aplicar o princípio do menor privilégio em integrações de terceiros. A estratégia do segundo grupo mostra como a fragmentação de dados vazados multiplica o risco extorsionista. Equipes de SOC precisam auditar contas herdadas e mapear permissões de API com urgência.

Linha do tempo

  1. Invasão inicial nos sistemas da Klue usando credencial de 2022 e extração de tokens OAuth.

  2. Klue reporta que o grupo Icarus apaga dados e novo coletivo ameaça extorsão direta com cópia dos arquivos.

Perguntas frequentes

Como validar se um grupo extorsionista realmente possui os dados roubados?

A orientação é exigir amostras aleatórias de arquivos que contenham metadados específicos ou trechos confidenciais conhecidos da sua infraestrutura. A validação técnica confirma se os dados são autênticos ou apenas réplicas vazias geradas por IA. A Klue desaconselha o pagamento ao segundo grupo até que essa comprovação seja feita de forma independente.

Qual a relação entre o ataque à Klue e os clientes afetados como LastPass e Snyk?

A plataforma da Klue funcionava como um hub de inteligência competitiva. Os clientes concederam chaves de API e tokens OAuth para sincronização contínua de dados. O acesso lateral ocorreu porque os tokens não tinham expiração configurada e estavam armazenados no ambiente comprometido.

Por que a não revogação de credenciais antigas facilita a invasão da cadeia de suprimentos?

Permissões antigas ignoram os controles de segurança modernos e a rotação obrigatória de segredos. Elas aparecem como contas de serviço ou integrações de teste esquecidas na nuvem. Um invasor as usa para escalar privilégios e acessar sistemas atuais sem acionar alertas de comportamento anômalo.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
26 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU Segurança da Informação
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser