AnswersPublished34 sources
כך פרצו האקרים ל-Klue וגנבו נתוני Salesforce ממאות חברות — סיפורה של פרצת אבטחה שהחלה מאישור גישה שנשכח
ב 11 ביוני 2026 ניצלו תוקפים אישור גישה ישן (legacy credential) של Klue, פלטפורמת מודיעין שוק, כדי לחדור למערכת ולהחדיר קוד זדוני שגנב אסימוני OAuth למאות סביבות Salesforce התוקפים מקבוצת Icarus השתמשו באסימונים הגנובים כדי לשאוב נתונים מסביבות Salesforce באמצעות למעלה מ 1,000 קריאות API בכל 15 דקות במשך כ 24 שעות ב...
98K0
AI Prompt
openai.comCreate a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What happened in the June 2026 supply chain attack on Klue, including how attackers used a stolen. Article summary: Here is a comprehensive, source-cited account of the June 2026 Klue supply chain attack.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual eviden
ב-11 ביוני 2026 פרצו תוקפים ל-Klue, פלטפורמת מודיעין שוק מקנדה המחברת נתוני תחרות (battlecards) ל-Salesforce CRM. נקודת החדירה לא הייתה פרצת אבטחה מתוחכמת, אלא אישור גישה (credential) של אב-טיפוס אינטגרציה שננטש — Klue יצרה אותו עבור מערכת ניסיונית שמעולם לא הופעלה ומעולם לא הושבתה . האישור הישן עוד עבד, ואיפשר לתוקף להתחבר לתשתיות האינטגרציה של Klue
.
מרגע שנכנסו, התוקפים דחפו עדכוני קוד זדוניים שאספו אסימוני OAuth עבור Salesforce ואינטגרציות צד שלישי אחרות מסביבות הלקוחות של Klue . עם האסימונים הללו, הם התחזו לאפליקציית Klue וביצעו קריאות API ישירות ל-Salesforce — כ-1,000 קריאות בכל 15 דקות בגלים מרוכזים במשך כ-24 שעות
.
עד ש-Klue התריעה ללקוחות ב-13 ביוני, התוקפים כבר גנבו אסימונים למאות סביבות Salesforce . בין הנתונים שנגנבו: אנשי קשר עסקיים, לידים מכירות, היסטוריית תמיכה, שמות, כתובות דוא"ל, מספרי טלפון ומידע על תמחור
.
📋 מי נפגע
התוקפים השתמשו באסימונים הגנובים כדי לגשת לנתוני Salesforce של מאות לקוחות ארגוניים . להלן רשימת הארגונים שאישרו או שנחשפו כנפגעים:
| ארגון | סטטוס | מקור |
|---|---|---|
| Huntress | אושר בבלוג של Huntress | |
| Recorded Future | אושר על ידי שתי החברות | |
| Tanium | נחשף ב-Infosecurity Magazine | |
| Jamf | נחשף ב-Infosecurity Magazine | |
| HackerOne | דווח על ידי TechCrunch ו-LinkedIn | |
| Kudelski Security | דווח בפרסומי הפריצה | |
| Snyk | דווח בפרסומי הפריצה | |
| Insurity | דווח בפרסומי הפריצה | |
| Sprout Social | דווח בפרסומי הפריצה | |
| LastPass | אושר ב-TNW; מידע אישי ונתוני תמיכה נגנבו |
Huntress פרסמה פוסט מפורט המכנה את האירוע "אפקט דומינו אבטחתי" .
🔑 כיצד התבצעה המתקפה
שרשרת המתקפה הייתה ישירה וניצלה עיוורון אבטחה נפוץ: אישורי גישה שנשכחו. Klue יצרה אישור OAuth עבור אב-טיפוס אינטגרציה שמעולם לא נפרס ומעולם לא הוסר מהמערכות הפעילות .
ב-11 ביוני, קבוצת Icarus מצאה אישור זה, התחברה לשרת האחורי של Klue, ודחפה קוד זדוני לשכבת האינטגרציה. קוד זה אסף כל אסימון OAuth ש-Klue החזיקה עבור אינטגרציות לקוחות: Salesforce, HubSpot, Gong, SharePoint, Zoom ועוד . עם האסימונים, התוקפים שאלו ישירות את סביבות Salesforce ללא צורך באישורים נוספים.
📊 היקף גניבת הנתונים
התוקפים לא שאבו נתונים בשקט. חברת האבטחה ReliaQuest תיעדה שבשיא ביצעו התוקפים כמעט 1,000 שאילתות API ב-15 דקות, ושמירה על חלון מיצוי רציף של יותר מ-6 שעות . משך המיצוי הכולל: כ-24 שעות
. השאילתות בוצעו מול נקודות קצה Salesforce REST API כמו
/services/data/v59.0/query/*, באמצעות סקריפטים אוטומטיים ב-Python .
⚡ תגובת Klue ו-Salesforce
- Klue זיהתה פעילות לא מורשית ב-12 ביוני והחלה להודיע ללקוחות ב-13 ביוני. החברה ניתקה אינטגרציות ועבדה עם לקוחות להחלפת אסימונים
.
- Salesforce ניתקה את אפליקציית Klue Battlecards בכל סביבות הלקוחות המושפעות ב-17 ביוני בשעה 19:22 שעון בריטניה, ללא התראה מוקדמת
. Salesforce קראה ללקוחות להחליף אסימוני OAuth ולבדוק יומני API
.
🕵️💻 קבוצת הסחיטה Icarus והכינוי "mr bean"
קבוצת פשע חדשה בשם Icarus (הפעילה מאז אפריל 2026) לקחה אחריות . הקבוצה פנתה לקורבנות באמצעות דוא"ל תחת הכינוי "mr bean", ודרשה תשלום תמורת אי-פרסום הנתונים הגנובים
. ב-22 ביוני, Icarus החלה לפרסם נתונים גנובים מ-Huntress ומקורבנות אחרים באתר ההדלפות שלה
.
🔓 למה זה חשוב
פריצה זו אינה אירוע בודד. זוהי פרצת אבטחת OAuth השלישית ב-Salesforce תוך פחות משנה, לאחר התקפות קודמות על Drift (Salesloft) ו-Gainsight . הדפוס זהה: תוקפים מכוונים לרכזת האינטגרציה, גונבים אסימוני OAuth, ומשתמשים בהם כדי לגשת ל-CRM מבלי להפעיל אזעקות, מכיוון שהשאילתות מגיעות מאפליקציה מהימנה. פרצת Klue מדגישה גם את הסכנה שבאישורי גישה "יתומים" — אישור שנוצר עבור אב-טיפוס ומעולם לא בוטל הפך לנקודת כשל יחידה עבור מאות ארגונים
.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
People also ask
What is the short answer to "כך פרצו האקרים ל-Klue וגנבו נתוני Salesforce ממאות חברות — סיפורה של פרצת אבטחה שהחלה מאישור גישה שנשכח"?
ב 11 ביוני 2026 ניצלו תוקפים אישור גישה ישן (legacy credential) של Klue, פלטפורמת מודיעין שוק, כדי לחדור למערכת ולהחדיר קוד זדוני שגנב אסימוני OAuth למאות סביבות Salesforce
What are the key points to validate first?
ב 11 ביוני 2026 ניצלו תוקפים אישור גישה ישן (legacy credential) של Klue, פלטפורמת מודיעין שוק, כדי לחדור למערכת ולהחדיר קוד זדוני שגנב אסימוני OAuth למאות סביבות Salesforce התוקפים מקבוצת Icarus השתמשו באסימונים הגנובים כדי לשאוב נתונים מסביבות Salesforce באמצעות למעלה מ 1,000 קריאות API בכל 15 דקות במשך כ 24 שעות
What should I do next in practice?
בין הנפגעות הידועות: Huntress, Recorded Future, Tanium, Jamf, HackerOne, LastPass, Snyk, Sprout Social ואחרות
Sources
- innovatecybersecurity.comKlue OAuth Breach Fuels Icarus Salesforce Data Theft ...
- logicity.inKlue OAuth breach spreads: 7 firms confirm Salesforce data theft
- radar.offseq.comCybersecurity Firms Impacted by Klue Supply Chain Attack
- huntress.comCybercrime Breaches Klue: Salesforce Data Impacted for ... - Huntress
- mallory.aiKlue OAuth Breach Enabled Icarus Theft of Salesforce CRM Data
- theregister.comSecurity shops among the 'hundreds' of Klue hack victims
- securityweek.comCybersecurity Firms Impacted by Klue Supply Chain Attack
- cloudskope.comDrift. Gainsight. Now Klue. And This Time, It Wasn't ShinyHunters. | Cloudskope
- techcrunch.comKlue hack results in data breach at several cybersecurity firms
- socdefenders.aiCybersecurity Firms Impacted by Klue Supply Chain Attack
- thenextweb.comLastPass says hackers stole customer data through a supply chain ...
- infosecurity-magazine.comKlue Breach Enables Hackers to Compromise ...
- linkedin.comKlue hack results in data breach at several cybersecurity firms
- dugganusa.comThe Third Salesforce OAuth Breach in Twelve Months
- aboutdfir.comInfoSec News Nuggets – 06/19/2026
- securitybrief.co.nzKlue breach lets attackers steal Salesforce CRM data
- radar.offseq.comKlue Integration Abused in Salesforce Data Theft | Threat Spotlight - Live Threat Intelligence - Threat Radar | OffSeq.com
- ctipilot.chCTI Daily Brief — 2026-06-19
- linkedin.comKlue Breach Exposes Cybersecurity Firms to Supply Chain Risk - LinkedIn
- salesforcedictionary.comKlue OAuth Hack Hits Salesforce CRM | | SF Dictionary
- securitylabs.datadoghq.comDetecting the Klue supply chain attack in Salesforce instances
- rhisac.orgIcarus Threat Group Claims Salesforce Data Theft in Klue ...
- thecybersecguru.comKlue Salesforce Breach Explained: Icarus OAuth Attack
- linkedin.comAkili A.'s Post
- securityweek.comMore Cybersecurity Firms Disclose Impact From Klue Hack
- thehackernews.comSalesforce Disables Klue App Integration After OAuth ...
- obsidiansecurity.comInside the Klue SaaS Supply Chain Attack on Salesforce
- rescana.comKlue OAuth Integration Breach Exposes Salesforce Customer Data in Icarus Supply Chain Attack
- cvedaily.ioKlue Salesforce data breach: OAuth Token Abuse Leads to Exfiltration
- linkedin.comAngelo Caproitti's Post
- x.comSalesforce has disabled Klue Battlecards integration after attackers ...
- helpnetsecurity.comKlue breach lead to Salesforce data theft, Huntress affected
- probablypwned.comKlue OAuth Breach Exposes Salesforce CRM Data at Multiple Enterprises
- bleepingcomputer.comKlue OAuth breach linked to 'Icarus' Salesforce data theft attacks
Loading comments...
Comments
0 comments