Een datalek voelt afgesloten zodra de daders beloven de gestolen data te wissen. De inbraak bij Klue laat zien waarom dat een gevaarlijke aanname is. Marktonderzoeksplatform Klue, dat eerder deze maand werd gehackt, meldt nu dat de oorspronkelijke aanvallers de buit aan het verwijderen zijn, maar tegelijk duikt een tweede hackersgroep op die dezelfde data claimt en er opnieuw losgeld voor eist. Die dubbele afpersing, ook wel double extortion, treft klanten van Klue zoals wachtwoordmanager LastPass, en daarmee ook Nederlandse bedrijven die zulke diensten gebruiken.
Wat er nu gebeurt
De afpersingsgroep Icarus brak op 12 juni in bij Klue en stal klantdata uit gekoppelde Salesforce-omgevingen. Volgens een update van Klue heeft Icarus laten weten de gestolen gegevens te verwijderen, en de leksite van de groep was donderdagochtend offline. Geruststellend, zou je denken, ware het niet dat zich meteen een tweede groep meldde die zegt de data rechtstreeks van Icarus te hebben gekregen. Die tweede groep plaatste een lijst met naar eigen zeggen 195 getroffen Klue-klanten en eiste opnieuw losgeld, met de boodschap dat ze alles zouden lekken bij niet betalen. Klue waarschuwt klanten dat deze tweede groep waarschijnlijk alleen monsters van data voor een deel van de klanten heeft, niet de volledige buit, en adviseert om bewijs op te vragen voordat je met afpersers in zee gaat.
De tweede groep beweert bovendien dat iemand Icarus al had betaald, en dat de persoon achter Icarus een tiener zou zijn die ergens in het Verenigd Koninkrijk of een buurland woont. Hard bewijs voor die claims ontbreekt; het tekent vooral hoe rommelig en onbetrouwbaar de onderwereld rond zo'n lek is, en hoe weinig een afspraak met criminelen waard is.
Hoe Klue gehackt werd
De inbraak zelf draaide om een klassiek supply chain-zwak punt: LastPass lekte klantgegevens via een vergeten OAuth-koppeling met leverancier Klue, waarbij Icarus binnenkwam via een sluimerende inloggegeven uit een proefproject uit 2022, OAuth-tokens oogstte en daarmee de Salesforce-omgevingen van Klue-klanten bevroeg. Onderzoekers van ReliaQuest zagen geautomatiseerde Python-scripts die in een kwartier bijna duizend verzoeken op de Salesforce-API afvuurden. Naast LastPass staan inmiddels minstens twaalf bedrijven op de bevestigde lijst, waaronder Jamf, HackerOne, Huntress, OneTrust, Recorded Future, Snyk en Tanium.

Wat double extortion betekent voor jouw bedrijf
Voor elk bedrijf dat LastPass of een van de andere getroffen diensten gebruikt, verandert deze tweede groep de risicoberekening. De les is ongemakkelijk: een belofte van criminelen om data te wissen is geen garantie dat het verhaal voorbij is. Dezelfde dataset kan doorverkocht, gekopieerd of opnieuw als pressiemiddel ingezet worden, soms door een partij die niets met de oorspronkelijke inbraak te maken had. Betalen lost dat dus niet structureel op; je hebt geen enkele zekerheid dat een tweede of derde groep niet alsnog opduikt.
Wat wel helpt, is uitgaan van het ergste scenario. Ga ervan uit dat de gelekte gegevens, namen, e-mailadressen en telefoonnummers, definitief buiten je controle zijn. Reken op gerichte phishing die overtuigend oogt omdat de afzender je echte gegevens kent, en train je mensen daarop. En trek de structurele les uit de oorzaak: elke OAuth-koppeling tussen je CRM en een externe tool is een sleutel die iemand anders beheert. Inventariseer welke koppelingen, API-tokens en proefaccounts je ooit aanmaakte en trek in wat je niet meer gebruikt, precies de hygiene waarmee je je automatiseringsstack tegen supply chain-aanvallen beschermt. Een vergeten sleutel uit 2022 was hier de open deur, en dat soort deuren staan bij veel bedrijven nog op een kier.
Veelgestelde vragen
Grip op je koppelingen
Een vergeten OAuth-sleutel uit 2022 was hier de open deur. Ik breng je integraties en API-koppelingen in kaart, bouw ze veilig op en automatiseer het beheer ervan, end-to-end en self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
