Rood hangslot op een zwart computertoetsenbord
Nieuws25 juni · 20:455 min leestijd

Tweede hackersgroep eist losgeld na Klue-datalek: double extortion treft LastPass-klanten

Bij het Klue-datalek beloven de oorspronkelijke hackers de buit te wissen, maar een tweede groep eist nu losgeld van klanten als LastPass. Deze double extortion verandert de risicoberekening voor elk getroffen bedrijf.

Een datalek voelt afgesloten zodra de daders beloven de gestolen data te wissen. De inbraak bij Klue laat zien waarom dat een gevaarlijke aanname is. Marktonderzoeksplatform Klue, dat eerder deze maand werd gehackt, meldt nu dat de oorspronkelijke aanvallers de buit aan het verwijderen zijn, maar tegelijk duikt een tweede hackersgroep op die dezelfde data claimt en er opnieuw losgeld voor eist. Die dubbele afpersing, ook wel double extortion, treft klanten van Klue zoals wachtwoordmanager LastPass, en daarmee ook Nederlandse bedrijven die zulke diensten gebruiken.

Wat er nu gebeurt

De afpersingsgroep Icarus brak op 12 juni in bij Klue en stal klantdata uit gekoppelde Salesforce-omgevingen. Volgens een update van Klue heeft Icarus laten weten de gestolen gegevens te verwijderen, en de leksite van de groep was donderdagochtend offline. Geruststellend, zou je denken, ware het niet dat zich meteen een tweede groep meldde die zegt de data rechtstreeks van Icarus te hebben gekregen. Die tweede groep plaatste een lijst met naar eigen zeggen 195 getroffen Klue-klanten en eiste opnieuw losgeld, met de boodschap dat ze alles zouden lekken bij niet betalen. Klue waarschuwt klanten dat deze tweede groep waarschijnlijk alleen monsters van data voor een deel van de klanten heeft, niet de volledige buit, en adviseert om bewijs op te vragen voordat je met afpersers in zee gaat.

De tweede groep beweert bovendien dat iemand Icarus al had betaald, en dat de persoon achter Icarus een tiener zou zijn die ergens in het Verenigd Koninkrijk of een buurland woont. Hard bewijs voor die claims ontbreekt; het tekent vooral hoe rommelig en onbetrouwbaar de onderwereld rond zo'n lek is, en hoe weinig een afspraak met criminelen waard is.

Hoe Klue gehackt werd

De inbraak zelf draaide om een klassiek supply chain-zwak punt: LastPass lekte klantgegevens via een vergeten OAuth-koppeling met leverancier Klue, waarbij Icarus binnenkwam via een sluimerende inloggegeven uit een proefproject uit 2022, OAuth-tokens oogstte en daarmee de Salesforce-omgevingen van Klue-klanten bevroeg. Onderzoekers van ReliaQuest zagen geautomatiseerde Python-scripts die in een kwartier bijna duizend verzoeken op de Salesforce-API afvuurden. Naast LastPass staan inmiddels minstens twaalf bedrijven op de bevestigde lijst, waaronder Jamf, HackerOne, Huntress, OneTrust, Recorded Future, Snyk en Tanium.

Het Nederlandstalige LastPass-menu in de browser met opties als Mijn LastPass kluis en Afmelden, bron: Lastpass / Wikimedia Commons (CC BY-SA 3.0)
Het Nederlandstalige LastPass-menu in de browser met opties als Mijn LastPass kluis en Afmelden, bron: Lastpass / Wikimedia Commons (CC BY-SA 3.0)

Wat double extortion betekent voor jouw bedrijf

Voor elk bedrijf dat LastPass of een van de andere getroffen diensten gebruikt, verandert deze tweede groep de risicoberekening. De les is ongemakkelijk: een belofte van criminelen om data te wissen is geen garantie dat het verhaal voorbij is. Dezelfde dataset kan doorverkocht, gekopieerd of opnieuw als pressiemiddel ingezet worden, soms door een partij die niets met de oorspronkelijke inbraak te maken had. Betalen lost dat dus niet structureel op; je hebt geen enkele zekerheid dat een tweede of derde groep niet alsnog opduikt.

Wat wel helpt, is uitgaan van het ergste scenario. Ga ervan uit dat de gelekte gegevens, namen, e-mailadressen en telefoonnummers, definitief buiten je controle zijn. Reken op gerichte phishing die overtuigend oogt omdat de afzender je echte gegevens kent, en train je mensen daarop. En trek de structurele les uit de oorzaak: elke OAuth-koppeling tussen je CRM en een externe tool is een sleutel die iemand anders beheert. Inventariseer welke koppelingen, API-tokens en proefaccounts je ooit aanmaakte en trek in wat je niet meer gebruikt, precies de hygiene waarmee je je automatiseringsstack tegen supply chain-aanvallen beschermt. Een vergeten sleutel uit 2022 was hier de open deur, en dat soort deuren staan bij veel bedrijven nog op een kier.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je koppelingen

Een vergeten OAuth-sleutel uit 2022 was hier de open deur. Ik breng je integraties en API-koppelingen in kaart, bouw ze veilig op en automatiseer het beheer ervan, end-to-end en self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

LastPass lekt klantgegevens via supply chain-aanval op leverancier Klue
Nieuws
5 min

23 jun 12:27

LastPass lekt klantgegevens via supply chain-aanval op leverancier Klue

Aanvallers compromitteerden Klue, een tool die LastPass koppelde aan Salesforce, en stalen zo namen, e-mailadressen en adressen van klanten. De wachtwoordkluizen bleven veilig, maar de phishingkans neemt toe.

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt
Nieuws
6 min

30 jun 00:47

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt

Nissan meldt een datalek nadat aanvallers een kritiek lek in Oracle PeopleSoft misbruikten. De afpersgroep ShinyHunters trof zo'n 300 systemen bij meer dan honderd organisaties. Nederlandse bedrijven met PeopleSoft moeten direct patchen.

Tokenmaxxing is voorbij, maar rantsoeneren lost niets op
Inzicht
6 min

27 jun 23:03

Tokenmaxxing is voorbij, maar rantsoeneren lost niets op

Accenture zet AI-tokens op rantsoen en daarmee lijkt de tokenmaxxing-fase voorbij. Maar wie nu alleen de kraan dichtdraait, mist de echte verschuiving: de winnaars begroten hun AI rond aantoonbare output, niet rond verbruik.

Ollama haalt 65 miljoen dollar op en lanceert betaalde cloud die per GPU-tijd afrekent
Nieuws
4 min

10 jul 18:23

Ollama haalt 65 miljoen dollar op en lanceert betaalde cloud die per GPU-tijd afrekent

Ollama haalt 65 miljoen dollar op en zet naast de gratis lokale tool een betaalde cloud die per GPU-tijd afrekent. Voor bedrijven die vendor lock-in willen vermijden verschuift dat de rekensom rond zelf-hosten.

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier
Nieuws
4 min

10 jul 18:10

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier

Bij een hack op een IT-dienstverlener van Lidl zijn naam, telefoonnummer, e-mailadres, geboortedatum en klantnummer van webshopklanten gelekt. Wachtwoorden en bankgegevens bleven veilig. Waarom dit elke ondernemer met een webshop en externe leveranciers aangaat.

AI-agent van Lyzr leidt eigen investeringsronde van 100 miljoen dollar
Nieuws
4 min

10 jul 02:11

AI-agent van Lyzr leidt eigen investeringsronde van 100 miljoen dollar

Lyzr zet naar verluidt zijn eigen AI-agent in om een investeringsronde van 100 miljoen dollar te draaien. Het systeem beantwoordt investeerders en schrijft memo's, maar waar een mens nog tekent blijft onduidelijk. Een scherp ijkpunt voor autonomie.