Útok na dodavatelský řetězec Klue z června 2026: Zapomenutý přihlašovací údaj otevřel dveře k datům Salesforce

🔓 Co se stalo?

Dne 11. června 2026 se útočníci nabourali do systému společnosti Klue, kanadské platformy pro tržní inteligenci, kterou používají stovky podniků k synchronizaci konkurenčních „battlecardů“ do svého CRM Salesforce . Vstupním bodem nebyla sofistikovaná zero-day chyba, ale zapomenutý přihlašovací údaj (credential) k opuštěnému prototypu integrace, který Klue vytvořila, nikdy nenasadila a nikdy nezneplatnila . Tento starý OAuth údaj stále fungoval a útočníci se jím přihlásili k integrační infrastruktuře Klue .

Jakmile byli uvnitř, nahráli škodlivý kód, který sesbíral OAuth tokeny pro Salesforce a další třetí strany ze zákaznických prostředí Klue . Když Klue 13. června varovala zákazníky, útočníci už měli tokeny pro stovky připojených Salesforce organizací .

📊 Kdo byl zasažen?

Útočníci použili ukradené OAuth tokeny k přístupu k datům Salesforce patřícím stovkám zákazníků Klue . Následující organizace veřejně potvrdily, že byly zasaženy:

Organizace	Status	Zdroj
Huntress	Potvrzeno blogovým příspěvkem Huntress
Recorded Future	Potvrzeno oběma společnostmi
Tanium	Zveřejněno v Infosecurity Magazine
Jamf	Zveřejněno v Infosecurity Magazine
HackerOne	Uvedeno TechCrunch a LinkedIn
Kudelski Security	Uvedeno v hlášení o narušení
Snyk	Uvedeno v hlášení o narušení
Insurity	Uvedeno v hlášení o narušení
Sprout Social	Uvedeno v hlášení o narušení
LastPass	Potvrzeno TNW; ukradena data zákazníků a historie podpory

Huntress ve svém detailním článku označila incident za „bezpečnostní domino efekt“ a uvedla, že Icarus později data Huntress zveřejnil na svém leak webu .

🔑 Jak útok probíhal?

Řetězec útoku byl přímočarý a zneužil časté slepé místo v zabezpečení SaaS: zapomenuté přihlašovací údaje. Klue vytvořila OAuth údaj pro prototyp integrace, který nebyl nikdy nasazen ani odstraněn z aktivních systémů . Dne 11. června skupina Icarus tento údaj našla, přihlásila se do backendu Klue a nahrála škodlivý kód do integrační vrstvy. Tento kód sesbíral každý OAuth token, který Klue držela pro zákaznické integrace – Salesforce, HubSpot, Gong, SharePoint, Zoom a další . S těmito tokeny útočníci přímo dotazovali prostředí Salesforce bez potřeby dalších přihlašovacích údajů.

📊 Detail krádeže dat

Útočníci nekradli potichu. Bezpečnostní firma ReliaQuest zachytila aktivitu a uvedla, že útočník provedl téměř 1 000 API dotazů za 15 minut a udržoval souvislou extrakci po dobu přesahující šest hodin . Celková krádež trvala přibližně 24 hodin . Útočníci dotazovali Salesforce REST API endpointy jako /services/data/v59.0/query/* pomocí automatizovaných Python skriptů k hromadnému stahování záznamů . Ukradená data byla omezena na CRM a prodejní informace, nikoli interní systémy nebo přihlašovací údaje postižených organizací .

⚡ Jak reagovaly Klue a Salesforce?

• Klue detekovala neoprávněnou aktivitu 12. června a začala informovat zákazníky 13. června. Firma přerušila integrace a spolupracovala s postiženými zákazníky na obměně tokenů . Klue potvrdila, že útočníci použili kompromitovaný starý přihlašovací údaj k získání OAuth tokenů a přístupu k zákaznickým prostředím Salesforce .
• Salesforce zakázala aplikaci Klue Battlecards ve všech postižených instancích zákazníků 17. června 2026 v 19:22 BST, aniž by zákazníky předem varovala . Salesforce později vyzvala všechny připojené zákazníky Klue k obměně OAuth tokenů a kontrole API auditních logů na neoprávněné dotazy .

🕵️‍💻 Skupina Icarus a přezdívka „mr bean“

Nově sledovaná zločinecká skupina Icarus, aktivní přibližně od dubna 2026, si připsala odpovědnost . Icarus kontaktoval oběti e-mailem pod přezdívkou „mr bean“ (malým písmem) a požadoval platbu výměnou za nezveřejnění ukradených dat Salesforce . Dne 22. června začal Icarus zveřejňovat ukradená data od Huntress a dalších obětí na svém dedikovaném webu pro úniky dat . Skupina je první, která použila tuto specifickou cestu Klue-OAuth-Salesforce, což představuje posun od dřívějších útoků ShinyHunters na podobné integrace třetích stran s Salesforce . Huntress potvrdila, že data zveřejněná Icarem odpovídají rozsahu dříve hlášených informací a že soubory pro Huntress byly omezené povahy .

🔍 Proč na tom záleží?

Toto narušení není ojedinělý incident. Je to třetí velký útok na OAuth dodavatelský řetězec Salesforce za necelý rok, po útocích na Drift (Salesloft) a Gainsight . Vzorec je konzistentní: útočníci cílí na integrační centrum, kradou OAuth tokeny a používají je k přístupu k CRM prostředím, aniž by spustili poplach, protože dotazy pocházejí od důvěryhodné třetí strany. Útok na Klue také podtrhuje nebezpečí osiřelých přihlašovacích údajů v SaaS prostředích – údaj vytvořený pro prototyp a nikdy nezneplatněný se stal jediným bodem selhání pro stovky podnikových Salesforce organizací .