Sikkerhedsdominoeffekt: Sådan stjal hackere Salesforce-data via en glemt prototype-nøgle hos Klue

Indenfor pushede angriberne ondsindede kodeopdateringer, der høstede OAuth-tokens for Salesforce og andre tredjepartsintegrationer fra Klues kundemiljøer . Med disse tokens udgav de sig for at være Klue-appen og forespurgte direkte på tilsluttede Salesforce CRM-miljøer via Salesforce REST API. De affyrede næsten 1.000 API-kald per 15 minutter i koncentrerede byger over cirka 24 timer .

Da Klue advarede kunderne den 13. juni, havde angriberen allerede eksfiltreret tokens for hundredvis af tilsluttede Salesforce-organisationer . De stjålne data omfattede forretningskontakter, salgsemner, kundesupport-sager, navne, e-mailadresser, telefonnumre og prisin formation .

Angrebet er det tredje Salesforce OAuth-forsyningskædebrud på ti måneder, efter tidligere angreb på Drift (Salesloft) og Gainsight .

📋 Hvem blev berørt?

Angriberne brugte de stjålne OAuth-tokens til at få adgang til Salesforce-data fra hundredvis af Klues virksomhedskunder . Følgende organisationer har offentligt bekræftet eller er blevet nævnt som ofre:

Huntress kaldte hændelsen en 'sikkerhedsdominoeffekt' og bemærkede, at Icarus senere offentliggjorde Huntress-data på deres læk-side .

🔑 Sådan foregik angrebet

Angrebskæden var direkte og udnyttede en almindelig blind vinkel i SaaS-sikkerhed: glemte legitimationsoplysninger. Klue havde oprettet en OAuth-legitimationsoplysning til en prototype-integration, der aldrig blev implementeret og aldrig fjernet fra aktive systemer . Den 11. juni fandt Icarus-gruppen den legitimationsoplysning, autentificerede sig til Klues backend og pushede ondsindet kode til Klues integrationslag. Den kode indsamlede alle OAuth-tokens, som Klue havde til kundeintegrationer – Salesforce, HubSpot, Gong, SharePoint, Zoom og flere . Med tokens adspurgte angriberne direkte Salesforce-miljøer uden at have brug for andre legitimationsoplysninger.

📊 Dataeksfiltrering i detaljer

Angriberne sifonerede ikke data stille og roligt. Sikkerhedsfirmaet ReliaQuest observerede aktiviteten og rapporterede, at angriberne affyrede næsten 1.000 API-forespørgsler i en enkelt 15-minutters byge og opretholdt vedvarende ekstraktionsvinduer på over seks timer . Den samlede eksfiltrering varede cirka 24 timer . Angriberne adspurgte Salesforce REST API-endepunkter som /services/data/v59.0/query/* ved hjælp af automatiserede Python-scripts til at bulk-ekstrahere poster . De stjålne data var begrænset til CRM- og salgsinformation, ikke interne systemer eller legitimationsoplysninger for de berørte organisationer .

⚡ Hvordan Klue og Salesforce reagerede

• Klue opdagede uautoriseret aktivitet den 12. juni og begyndte at underrette kunder den 13. juni. Virksomheden afbrød integrationer og arbejdede sammen med berørte kunder om at rotere tokens . Klue bekræftede, at angriberne brugte en kompromitteret ældre legitimationsoplysning til at få OAuth-tokens og få adgang til kunders Salesforce-miljøer .
• Salesforce deaktiverede Klue Battlecards-appen på tværs af alle berørte kundeinstanser kl. 19:22 BST den 17. juni 2026 uden forudgående varsel til kunderne . Salesforce opfordrede efterfølgende alle tilsluttede Klue-kunder til at rotere OAuth-tokens og gennemgå API-revisionslogger for uautoriserede forespørgsler .

🕵️‍💻 Icarus-udpressergruppen og 'mr bean'-alias

En nyligt registreret kriminel gruppe, der kalder sig Icarus, påtog sig ansvaret. Gruppen har været aktiv siden cirka april 2026 og begyndte at offentliggøre ofre på deres læk-side i slutningen af juni . Icarus kontaktede ofre via e-mail under aliaset 'mr bean' (små bogstaver) og krævede betaling til gengæld for ikke at offentliggøre stjålne Salesforce-data . Den 22. juni begyndte Icarus at offentliggøre stjålne data fra Huntress og andre ofre på deres dedikerede datalæk-side . Gruppen er den første kendte til at bruge denne specifikke Klue-OAuth-til-Salesforce-pipeline, hvilket markerer et skift fra de tidligere ShinyHunters-ledede angreb på lignende tredjeparts Salesforce-integrationer .

🔍 Hvorfor dette betyder noget

Dette brud er ikke en isoleret hændelse. Det er det tredje store Salesforce OAuth-forsyningskædebrud på mindre end et år, efter angreb på Drift (Salesloft) og Gainsight . Mønsteret er konsekvent: angriberne retter sig mod integrationshubben, stjæler OAuth-tokens og bruger dem til at få adgang til CRM-miljøer uden at udløse alarmer, fordi forespørgslerne kommer fra en betroet tredjepartsapp. Klue-bruddet understreger også faren ved forladte legitimationsoplysninger i SaaS-miljøer – en legitimationsoplysning oprettet til en prototype og aldrig fjernet blev det eneste fejlpunkt for hundredvis af virksomheders Salesforce-organisationer .