ที่มาภาพ: BleepingComputer
Klue เผชิญการรั่วไหล OAuth token ระดับโลกโดยแฮกเกอร์ Icarus
⚡ สรุป 30 วิ
Klue เปิดเผยการโจมตีที่แฮกเกอร์ Icarus ขโมย OAuth token ที่เชื่อมต่อกับ Salesforce ของลูกค้า บริษัทได้รีเซ็ต token…
Klue, ผู้ให้บริการแพลตฟอร์มข้อมูลเชิงตลาด, ยืนยันว่าเผชิญเหตุการณ์ความปลอดภัยเมื่อเร็ว ๆ นี้ที่ทำให้ผู้โจมตีสามารถขโมย OAuth token ที่ใช้เชื่อมต่อกับสภาพแวดล้อม Salesforce ของลูกค้าได้ กลุ่มแฮกเกอร์ “Icarus” ที่อ้างว่าตัวเองเป็นผู้กระทำการได้เปิดเผยการโจมตีนี้ต่อสาธารณะ ทำให้รายชื่อผู้ได้รับผลกระทบเพิ่มขึ้นและกระตุ้นให้หลายองค์กรต้องตรวจสอบการเข้าถึงข้อมูลของตนเองอย่างเร่งด่วน
Overview
เหตุการณ์ที่ Klue รายงานเกิดขึ้นเมื่อช่วงต้นเดือนพฤษภาคม 2024 โดยผู้โจมตีเข้าถึงระบบภายในของบริษัทผ่านช่องโหว่ที่เกี่ยวข้องกับการจัดการ OAuth token ซึ่งเป็นกุญแจสำคัญสำหรับการให้สิทธิ์การเข้าถึง API ของ Salesforce ลูกค้าหลายรายที่ใช้ Klue เป็นศูนย์กลางการเก็บข้อมูลการตลาดจึงเสี่ยงต่อการถูกเข้าถึงข้อมูลเชิงลึกของตลาดและข้อมูลภายในขององค์กร
ตามที่บริษัทได้แจ้งต่อสาธารณะ Icarus เป็นกลุ่มที่มักใช้วิธีบังคับเรียกค่าไถ่ (ransom) หลังจากทำการขโมยข้อมูลสำคัญ กลุ่มนี้ได้อ้างว่าตนได้ขโมย OAuth token ของลูกค้าจำนวนหลายสิบรายและกำลังเตรียมส่งข้อมูลดังกล่าวให้กับผู้ที่จ่ายค่าไถ่ตามเงื่อนไขของพวกเขา
Key Details
การตรวจสอบภายในของ Klue แสดงให้เห็นว่าผู้โจมตีไม่ได้เจาะระบบโดยตรงเพื่อดึงข้อมูลจากฐานข้อมูลของบริษัท แต่ใช้วิธีดักจับ OAuth token ที่ถูกส่งผ่านการเชื่อมต่อระหว่างระบบของ Klue กับ Salesforce ซึ่งทำให้พวกเขาสามารถเข้าถึงข้อมูลของลูกค้าได้โดยไม่ต้องมีรหัสผ่านของผู้ใช้จริง
Klue ได้ระบุว่า:
- การขโมย token เกิดจากการที่ระบบจัดการ token มีการตั้งค่าอนุญาตให้เข้าถึงได้กว้างเกินไป
- ผู้โจมตีสามารถใช้ token ที่ได้เพื่อทำการเรียก API ของ Salesforce ได้หลายครั้ง
- ข้อมูลที่อาจถูกเปิดเผยรวมถึงข้อมูลลูกค้า, รายงานการวิเคราะห์ตลาด, และข้อมูลการติดต่อของพนักงาน
แม้ว่า Klue จะไม่ได้เปิดเผยจำนวนลูกค้าที่ได้รับผลกระทบอย่างชัดเจน แต่บริษัทได้บ่งชี้ว่ามี “หลายองค์กร” ที่อาจต้องเผชิญกับความเสี่ยงจากการเปิดเผยข้อมูลดังกล่าว
Response & Mitigation
หลังจากการตรวจพบเหตุการณ์ Klue ได้ดำเนินการหลายขั้นตอนเพื่อจำกัดความเสียหายและป้องกันการโจมตีต่อเนื่อง ได้แก่
- แจ้งเตือนลูกค้าทั้งหมดที่อาจได้รับผลกระทบโดยตรงผ่านช่องทางอีเมลและระบบแจ้งเตือนของบริษัท
- ทำการ รีเซ็ต OAuth token ทั้งหมดที่เชื่อมต่อกับ Salesforce และบังคับให้ลูกค้ากำหนดค่า token ใหม่ภายในระยะเวลาที่กำหนด
- เสริมกระบวนการตรวจสอบและบันทึกการใช้ token เพื่อให้สามารถตรวจจับการใช้งานที่ผิดปกติได้เร็วขึ้น
- ร่วมมือกับทีมความปลอดภัยของ Salesforce เพื่อตรวจสอบและยืนยันว่าการเข้าถึงข้อมูลของผู้โจมตีไม่ได้ทำให้เกิดการรั่วไหลของข้อมูลที่สำคัญต่อระบบของ Salesforce เอง
การตอบสนองของ Klue เน้นที่การให้ความโปร่งใสต่อผู้ใช้และการทำให้ระบบกลับมามีความปลอดภัยอย่างเต็มรูปแบบโดยเร็วที่สุด
Analysis
การโจมตีครั้งนี้สะท้อนให้เห็นถึงความอ่อนแอของ OAuth ในการจัดการสิทธิ์การเข้าถึงแบบละเอียด (granular permissions) หากไม่ได้กำหนดขอบเขตการใช้งานให้ชัดเจน token เหล่านั้นอาจกลายเป็น “กุญแจสาธารณะ” ที่ผู้ไม่ประสงค์ดีสามารถใช้เพื่อเข้าถึงระบบสำคัญได้
กลุ่ม Icarus ยังคงเป็นผู้ที่ค่อนข้างลับลึกในแวดวงอาชญากรรมไซเบอร์ โดยมักใช้วิธีบังคับเรียกค่าไถ่หลังจากทำการขโมยข้อมูลที่มีค่าในเชิงธุรกิจ การที่พวกเขาเลือกโจมตีแพลตฟอร์มที่ให้บริการข้อมูลเชิงตลาดบ่งบอกว่าข้อมูลเชิงลึกเชิงธุรกิจมีมูลค่าสูงและเป็นเป้าหมายที่น่าสนใจสำหรับการขูดรีบนักลงทุน
จากมุมมองของอุตสาหกรรมเทคโนโลยี การรั่วไหลของ OAuth token ยังคงเป็นปัญหาที่ต้องได้รับการจัดการอย่างต่อเนื่อง เนื่องจากหลายองค์กรพึ่งพา token เพื่อเชื่อมต่อบริการคลาวด์หลายตัว การกำหนดนโยบายการหมดอายุของ token อย่างสม่ำเสมอและการตรวจสอบการใช้ token อย่างเข้มงวดจึงเป็นแนวทางที่ควรนำมาปรับใช้โดยด่วน
Impact
ผลกระทบของเหตุการณ์นี้ไม่ได้จำกัดเพียงผู้ใช้ Klue เท่านั้น แต่ยังส่งผลต่อลูกค้าของลูกค้า (end‑users) ที่ข้อมูลภายใน Salesforce ของพวกเขาอาจถูกเปิดเผย การสูญเสียความเชื่อมั่นในระบบเชื่อมต่อคลาวด์อาจทำให้หลายองค์กรพิจารณาเปลี่ยนไปใช้วิธีการตรวจสอบสิทธิ์แบบอื่น เช่น การใช้ SAML หรือ Zero‑Trust Architecture เพื่อลดความเสี่ยงจาก token ที่อาจถูกขโมย
นอกจากนี้ ผู้ที่ดูแลด้านความปลอดภัยขององค์กรต้องทบทวนขั้นตอนการจัดการ token ทั้งหมด ไม่ว่าจะเป็นการตั้งค่า scope ของ token, การกำหนดระยะเวลาหมดอายุ, และการบันทึกการใช้งานเพื่อให้สามารถตรวจจับพฤติกรรมผิดปกติได้ทันที การทำเช่นนี้จะช่วยลดโอกาสที่ผู้โจมตีจะใช้ token ที่ถูกขโมยเพื่อทำการขโมยข้อมูลเพิ่มเติม
Summary
Klue ยืนยันว่ามีการขโมย OAuth token ที่ใช้เชื่อมต่อกับ Salesforce ของลูกค้าผ่านการโจมตีของกลุ่ม Icarus ซึ่งทำให้หลายองค์กรต้องเผชิญความเสี่ยงด้านข้อมูลและต้องรีเซ็ต token ทันที การเหตุการณ์นี้เน้นย้ำความสำคัญของการจัดการสิทธิ์การเข้าถึงแบบละเอียดและการตรวจสอบการใช้ token อย่างต่อเนื่องในยุคคลาวด์.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Klue OAuth breach victim list grows as Icarus hackers claim attack
- ผู้เขียน
- Lawrence Abrams
- แหล่ง
- BleepingComputer
- วันที่เผยแพร่
- 20 มิถุนายน 2569 เวลา 05:31
