Klue-Supply-Chain-Angriff Juni 2026: Ein vergessener Schlüssel öffnete Salesforce für Erpresser

📋 Wer war betroffen?

Die Angreifer nutzten die gestohlenen OAuth-Tokens, um auf Salesforce-Daten von Hunderten von Klue-Kunden zuzugreifen . Folgende Organisationen haben den Vorfall öffentlich bestätigt oder wurden als Opfer genannt:

Huntress veröffentlichte einen detaillierten Beitrag und sprach von einem „Sicherheits-Dominoeffekt“. Die Gruppe Icarus veröffentlichte die Huntress-Daten später auf ihrer Leak-Seite .

🔑 Wie der Angriff ablief

Die Angriffskette war direkt und nutzte eine typische Sicherheitslücke in SaaS-Umgebungen aus: vergessene Anmeldedaten. Klue hatte einen OAuth-Zugang für einen Prototypen einer Integration erstellt, der nie in Betrieb genommen und nie aus den aktiven Systemen entfernt wurde . Am 11. Juni fand die Gruppe Icarus diese Anmeldeinformationen, authentifizierte sich an Klues Backend und spielte schädlichen Code auf Klues Integrationsschicht auf. Dieser Code sammelte alle OAuth-Tokens, die Klue für Kundenintegrationen verwaltete – Salesforce, HubSpot, Gong, SharePoint, Zoom und mehr . Mit diesen Tokens fragten die Angreifer die Salesforce-Umgebungen direkt ab, ohne weitere Anmeldedaten zu benötigen.

📊 Datendiebstahl im Detail

Die Angreifer saugten die Daten nicht leise ab. Das Sicherheitsunternehmen ReliaQuest beobachtete die Aktivität und berichtete von fast 1.000 API-Abfragen in 15 Minuten und anhaltenden Extraktionsfenstern von mehr als sechs Stunden . Die gesamte Datenexfiltration dauerte etwa 24 Stunden . Die Angreifer nutzten die Salesforce-REST-API-Endpunkte wie /services/data/v59.0/query/* und setzten automatisierte Python-Skripte ein, um Datensätze in großem Umfang zu extrahieren . Die gestohlenen Daten beschränkten sich auf CRM- und Vertriebsinformationen – keine internen Systeme oder Zugangsdaten der betroffenen Organisationen .

⚡ Reaktion von Klue und Salesforce

• Klue entdeckte die unbefugte Aktivität am 12. Juni und begann am 13. Juni, Kunden zu benachrichtigen. Das Unternehmen unterbrach die Integrationen und arbeitete mit betroffenen Kunden daran, die Tokens zu rotieren . Klue bestätigte, dass die Angreifer eine kompromittierte, veraltete Anmeldeinformation nutzten, um OAuth-Tokens zu erlangen .
• Salesforce deaktivierte die Klue-Battlecards-App auf allen betroffenen Kundeninstanzen am 17. Juni 2026 um 19:22 Uhr BST, ohne die Kunden vorher zu warnen . Salesforce forderte alle angeschlossenen Klue-Kunden auf, OAuth-Tokens zu rotieren und die API-Protokolle auf unbefugte Abfragen zu prüfen .

🕵️‍💻 Die Erpresserbande Icarus und das Pseudonym „mr bean“

Eine neu entdeckte kriminelle Gruppe namens Icarus bekannte sich zu dem Angriff. Die Gruppe ist seit etwa April 2026 aktiv und begann Ende Juni, ihre Opfer auf einer Leak-Seite zu listen . Icarus kontaktierte die Opfer per E-Mail unter dem Pseudonym „mr bean“ (Kleinbuchstaben) und forderte Zahlungen im Austausch dafür, die gestohlenen Salesforce-Daten nicht zu veröffentlichen . Am 22. Juni begann Icarus, gestohlene Daten von Huntress und anderen Opfern auf ihrer speziellen Leak-Seite zu veröffentlichen . Die Gruppe ist die erste, die diese spezifische Klue-OAuth-zu-Salesforce-Pipeline nutzt – eine Abkehr von den früheren, von ShinyHunters angeführten Angriffen auf ähnliche Drittanbieter-Salesforce-Integrationen . Huntress bestätigte, dass die von Icarus veröffentlichten Daten dem bereits gemeldeten Umfang entsprachen und die Dateien für Huntress begrenzt waren .

🔍 Warum das wichtig ist

Dieser Vorfall ist kein Einzelfall. Es ist der dritte große Salesforce-OAuth-Supply-Chain-Angriff innerhalb eines Jahres nach den Angriffen auf Drift (Salesloft) und Gainsight . Das Muster ist gleich: Angreifer zielen auf den Integrations-Hub ab, stehlen OAuth-Tokens und nutzen sie, um auf CRM-Umgebungen zuzugreifen, ohne Alarm auszulösen, da die Abfragen von einer vertrauenswürdigen Drittanbieter-App zu kommen scheinen. Der Klue-Vorfall unterstreicht auch die Gefahr von verwaisten Anmeldedaten in SaaS-Umgebungen – eine Anmeldeinformation, die für einen Prototypen erstellt und nie gelöscht wurde, wurde zum Single Point of Failure für Hunderte von Salesforce-Organisationen .