📰 Source : TechCrunch, article de Lorenzo Franceschi-Bicchierai publié le 25 juin 2026. L’article rapporte les développements post-incident concernant la violation de données subie par Klue, fournisseur de market intelligence.

🗓️ Chronologie de l’incident

  • 12 juin 2026 : intrusion dans les systèmes de Klue
  • Lundi (date non précisée) : Klue confirme publiquement la violation
  • Mercredi soir : mise à jour privée envoyée aux clients
  • Jeudi matin : site du groupe Icarus hors ligne

🎯 Vecteur d’attaque initial Les attaquants ont utilisé un credential tiers datant de 2022, issu d’un pilote limité et jamais révoqué. Ce credential a permis d’accéder aux systèmes de Klue, puis de dérober des tokens d’authentification OAuth pour s’introduire dans les clouds et bases de données des clients.

🏢 Clients confirmés comme victimes

  • Gong, Jamf, HackerOne, Huntress, Insurity, LastPass, OneTrust, Recorded Future, Snyk, Sprout Social, Tanium

👥 Acteurs de la menace

  • Icarus : groupe initial, en contact avec Klue, affirme supprimer les données volées. Son site est actuellement hors ligne. Le groupe aurait été opéré par un adolescent basé au Royaume-Uni ou dans des pays adjacents, selon les allégations du second groupe.
  • Second groupe non nommé : affirme avoir volé les données directement depuis l’infrastructure d’Icarus en exploitant une erreur de l’opérateur. Ce groupe réclame une rançon et menace de publier les données. Il revendique 195 clients Klue affectés.

⚠️ Situation en cours Klue indique qu’Icarus a précisé que le second groupe ne détiendrait que des échantillons partiels des données, et non l’intégralité. Klue déconseille à ses clients de payer ce second groupe et leur suggère de demander une preuve de possession des données.

📌 Type d’article : rapport d’incident en cours, basé sur des communications internes vérifiées par TechCrunch auprès de plusieurs sources. But principal : informer les clients et le public sur l’évolution de la situation post-breach.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Icarus (cybercriminal) —

TTP

  • T1078.004 — Valid Accounts: Cloud Accounts (Initial Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1530 — Data from Cloud Storage (Collection)
  • T1657 — Financial Theft (Impact)
  • T1486 — Data Encrypted for Impact (Impact)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ techcrunch.com — source non référencée (0pts)
  • ✅ 5884 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Icarus (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://techcrunch.com/2026/06/25/hacked-klue-says-criminals-are-deleting-stolen-customer-data-but-now-other-hackers-are-making-threats/