Klue-toimitusketjuhyökkäys kesäkuussa 2026

Kesäkuun 11. päivänä 2026 hyökkääjät murtautuivat Klueen, Vancouverissa sijaitsevaan markkinatiedustelualustaan, jota sadat yritykset käyttävät synkronoidakseen kilpailijatietoja "battlecardeja" Salesforce CRM -järjestelmäänsä. Murron alkupiste ei ollut huippukehittynyt nollapäivähaavoittuvuus, vaan unohdettu tunnus, joka oli luotu hylätylle integraatioprototyypille, jota Klue ei koskaan ottanut käyttöön ja jota se ei koskaan poistanut . Vanha OAuth-tunnus toimi edelleen, jolloin hyökkääjä pystyi kirjautumaan Kluen integraatioinfrastruktuuriin . Päästyään sisälle hyökkääjät työnsivät haitallisia koodipäivityksiä, jotka keräsivät OAuth-polettaja Salesforceen ja muihin kolmannen osapuolen integraatioihin Kluen asiakasympäristöistä . Näiden polettien avulla hyökkääjät esiintyivät Klue-sovelluksena ja suorittivat kyselyitä kytkettyihin Salesforce CRM -ympäristöihin Salesforce REST API:n kautta, lähettäen lähes 1 000 API-kutsua 15 minuutissa tiiviissä purskeissa noin 24 tunnin aikana . Kun Klue ilmoitti asiakkaille 13. kesäkuuta, hyökkääjä oli jo ehtinyt viedä polettaja sadoista kytketyistä Salesforce-ympäristöistä . Varastettuja tietoja olivat muun muassa yrityskontaktit, myyntiliidit, asiakastukitapausten historiat, nimet, sähköpostiosoitteet, puhelinnumerot ja hinnoittelutiedot . Tämä on kolmas Salesforce OAuth -toimitusketjuhyökkäys kymmenen kuukauden sisällä, edellisten kohdistuessa Drift (Salesloft) ja Gainsight -alustoihin .

📋 Ketä asia koski?

Hyökkääjät käyttivät varastettuja OAuth-polettaja päästäkseen käsiksi Salesforce-tietoihin, jotka kuuluvat sadoille Kluen yritysasiakkaille . Seuraavat organisaatiot ovat julkisesti vahvistaneet uhriksi joutumisen:

Organisaatio	Tila	Lähde
Huntress	Vahvistettu Huntressin blogissa
Recorded Future	Molempien yritysten vahvistama
Tanium	Ilmoittanut Infosecurity Magazinelle
Jamf	Ilmoittanut Infosecurity Magazinelle
HackerOne	Mainittu TechCrunchissa ja LinkedInissä
Kudelski Security	Mainittu tietoturvaraportoinnissa
Snyk	Mainittu tietoturvaraportoinnissa
Insurity	Mainittu tietoturvaraportoinnissa
Sprout Social	Mainittu tietoturvaraportoinnissa
LastPass	Vahvistettu TNW:n kautta; asiakkaiden PII- ja tukitapaus-tiedot varastettu

Huntress julkaisi yksityiskohtaisen blogikirjoituksen, jossa se kuvasi tapahtumaa "turvallisuus-dominovaikutukseksi" ja totesi, että Icarus myöhemmin listasi Huntressin tiedot vuotosivustollaan .

🔑 Miten hyökkäys eteni?

Hyökkäysketju oli suoraviivainen ja hyödynsi SaaS-alustojen yleistä sokeaa pistettä: unohdettuja tunnistetietoja. Klue oli luonut OAuth-tunnuksen prototyyppi-integraatiolle, jota ei koskaan otettu käyttöön eikä koskaan poistettu aktiivisista järjestelmistä . Kesäkuun 11. päivänä Icarus-ryhmä löysi tämän tunnisteen, kirjautui Kluen taustajärjestelmään ja työnsi haitallisen koodin Kluen integraatiokerrokseen. Tämä koodi keräsi kaikki Kluen asiakasintegraatioiden OAuth-polettaja – Salesforce, HubSpot, Gong, SharePoint, Zoom ja muita varten . Saatujen polettien avulla hyökkääjät pystyivät suoraan kyselyillä Salesforce-ympäristöjä ilman muita tunnistetietoja.

📊 Tietojen vieminen yksityiskohtaisesti

Hyökkääjät eivät vieneet tietoja hiljaisesti. Tietoturvayritys ReliaQuest havaitsi toiminnan ja raportoi, että hyökkääjä lähetti lähes 1 000 API-kyselyä yhdessä 15 minuutin purskeessa ja ylläpiti yli kuusi tuntia kestäviä viemisjaksoja . Tietojen vienti kesti yhteensä noin 24 tuntia . Hyökkääjät kyselivät Salesforce REST API -päätepisteitä, kuten /services/data/v59.0/query/*, ja käyttivät automatisoituja Python-skriptejä tietojen massavientiin . Varastetut tiedot rajoittuivat CRM- ja myyntitietoihin, eivät sisältäneet vaarantuneiden organisaatioiden sisäisiä järjestelmiä tai tunnuksia .

⚡ Miten Klue ja Salesforce vastasivat?

• Klue havaitsi luvattoman toiminnan 12. kesäkuuta ja alkoi ilmoittaa asiakkaille 13. kesäkuuta. Yritys katkaisi integraatiot ja työskenteli vaarantuneiden asiakkaiden kanssa polettien vaihtamiseksi . Klue vahvisti, että hyökkääjät käyttivät vaarannettua vanhaa tunnusta saadakseen OAuth-polettaja ja päästäkseen asiakkaiden Salesforce-ympäristöihin .
• Salesforce poisti Klue Battlecards -sovelluksen kaikista vaarantuneista asiakasympäristöistä 17. kesäkuuta 2026 kello 19.22 BST ilman ennakkovaroitusta asiakkaille . Salesforce kehotti myöhemmin kaikkia kytkettyjä Klue-asiakkaita vaihtamaan OAuth-polettaja ja tarkistamaan API-valvontalokit luvattomien kyselyiden varalta .

🕵️‍💻 Icarus-kiristysryhmä ja "mr bean" -salanimi

Äskettäin tunnistettu rikollisryhmä, joka kutsuu itseään Icarukseksi, otti vastuun hyökkäyksestä. Ryhmä on ollut aktiivinen noin huhtikuusta 2026 lähtien ja alkoi listata uhreja vuotosivustollaan kesäkuun lopussa . Icarus otti uhreihin yhteyttä sähköpostitse salanimellä "mr bean" (pienellä kirjoitettuna) ja vaati maksua vastineeksi siitä, ettei varastettuja Salesforce-tietoja julkaistaisi . Kesäkuun 22. päivänä Icarus alkoi julkaista varastettuja tietoja Huntressista ja muista uhreista omalla tietovuotosivustollaan . Ryhmä on ensimmäinen, jonka tiedetään käyttäneen tätä Klue-OAuth–Salesforce-putkea, mikä merkitsee siirtymää aiemmista ShinyHuntersin johtamista hyökkäyksistä vastaavia kolmannen osapuolen Salesforce-integraatioita vastaan . Huntress vahvisti, että Icaruksen julkaisemat tiedot vastasivat jo raportoitua laajuutta, ja Huntressin tiedostot olivat rajallisia .

🔍 Miksi tämä on tärkeää?

Tämä tietomurto ei ole yksittäinen tapaus. Se on kolmas suuri Salesforce OAuth -toimitusketjuhyökkäys alle vuoden sisällä, aiemmin kohdistuneena Drift (Salesloft) ja Gainsight -yrityksiin . Kaava on sama: hyökkääjät tähtäävät integraatiokeskukseen, varastavat OAuth-polettaja ja käyttävät niitä päästäkseen CRM-ympäristöihin ilman, että hälytyksiä syntyy, koska kyselyt tulevat luotetulta kolmannen osapuolen sovellukselta. Klue-tapaus korostaa myös hylättyjen tunnusten vaaraa SaaS-ympäristöissä – prototyypille luotu ja koskaan poistamatta jätetty tunnus tuli satojen yritysten Salesforce-ympäristöjen ainoaksi heikoksi lenkiksi .