Attacco hacker contro Klue: rubati i dati di giganti della cybersecurity

Un attacco hacker contro Klue, il fornitore canadese di market intelligence, sta scatenando una reazione a catena che ha coinvolto decine di clienti d’élite. Il gruppo criminale noto come Icarus ha rivendicato la responsabilità dell’intrusione, minacciando di pubblicare su un sito di leak una quantità enorme di dati rubati se l’azienda non accoglierà la loro richiesta di riscatto.

Il cuore della falla non è stato un attacco diretto al perimetro principale, ma lo sfruttamento di una “legacy credential” compromessa. Si tratta di credenziali obsolete o token associati a strumenti di integrazione che permettevano ai clienti di collegare i propri database cloud (come quelli di Salesforce) agli account Klue. In pratica, gli hacker hanno trovato la chiave per passare dal sistema di un fornitore direttamente nei caveau digitali delle aziende connesse.

La reazione a catena dopo l’attacco hacker contro Klue

L’aspetto più critico della vicenda riguarda l’effetto domino. Poiché Klue funge da intermediario per raccogliere dati di mercato, il suo compromesso ha aperto le porte ai segreti di alcuni dei nomi più prestigiosi del settore cybersecurity. Aziende come Snyk, Recorded Future, Jamf e OneTrust hanno confermato l’esfiltrazione di informazioni sensibili.

Il modus operandi degli hacker è diventato estremamente sofisticato: invece di colpire un singolo obiettivo massiccio, preferiscono colpire i cosiddetti “middleware provider”. Queste aziende gestiscono il flusso di dati tra più organizzazioni; violare un solo nodo centrale permette di accedere simultaneamente a centinaia di database aziendali. Questa strategia trasforma le piattaforme di integrazione da strumenti di produttività a potenziali punti di vulnerabilità sistemica.

I dati sottratti non sono semplici metadati, ma informazioni operative pesanti: nomi dei contatti commerciali, indirizzi email, numeri di telefono e dettagli sugli account aziendali. La gravità della situazione è stata amplificata dal fatto che molte di queste informazioni risiedono in database Salesforce, il bersaglio preferito per chi cerca di colpire le infrastrutture core delle imprese moderne.

Sicurezza e tagli: l’ombra dell’intelligenza artificiale

Mentre la crisi si consumava, un dettaglio ha attirato l’attenzione degli analisti: nel giugno scorso, Klue aveva annunciato piani di ristrutturazione per dimezzare il proprio organico, con l’obiettivo di spostare massicci investimenti verso lo sviluppo dell’intelligenza artificiale.

Questo riposizionamento strategico solleva interrogativi sulla gestione del rischio. La riduzione del personale potrebbe aver lasciato scoperti i reparti dedicati alla cybersecurity, rendendo più difficile il monitoraggio delle credenziali legacy o dei processi di integrazione cloud. Inoltre, la mancanza di una figura dedicata alla sicurezza (CISO) esplicitamente indicata nel top management dell’azienda solleva dubbi sulla resilienza strutturale del gruppo di fronte a minacce così persistenti.

La risposta: CrowdStrike entra in campo

Per contenere l’emorragia, Klue ha dovuto attivare immediatamente i protocolli di emergenza, affidando le indagini alla società specializzata CrowdStrike. Come misura cautelativa immediata, l’azienda ha scelto di disconnettere tutte le integrazioni attive per impedire ulteriori accessi non autorizzati ai cloud dei clienti.

Tuttavia, la questione rimane aperta: non è ancora chiaro come gli hacker siano riusciti a ottenere quelle credenziali compromesse o perché il sistema di monitoraggio di Klue non abbia rilevato l’intrusione avvenuta il 12 giugno. La vicenda si inserisce in un panorama tecnologico dove la velocità dell’innovazione, spinta dalla corsa all’AI, rischia spesso di correre più velocemente della capacità delle aziende di proteggere le fondamenta digitali su cui poggiano i loro nuovi servizi.