Serangan Rantai Pasok Klue: Bagaimana Satu Kredensial Terlupakan Membobol Data Salesforce

📋 Siapa yang Terdampak

Peretas menggunakan token OAuth curian untuk mengakses data Salesforce milik ratusan pelanggan perusahaan Klue . Berikut adalah organisasi yang telah mengonfirmasi atau disebut sebagai korban:

Huntress menerbitkan postingan terperinci yang menyebut insiden itu sebagai "efek domino keamanan," mencatat bahwa Icarus kemudian mendaftarkan data Huntress di situs kebocorannya .

🔑 Bagaimana Serangan Terjadi

Rantai serangan langsung dan mengeksploitasi titik buta keamanan SaaS umum: kredensial yang terlupakan. Klue telah membuat kredensial OAuth untuk prototipe integrasi yang tidak pernah digunakan dan tidak pernah dihapus dari sistem aktif . Pada 11 Juni, grup Icarus menemukan kredensial itu, mengotentikasi ke backend Klue, dan mendorong kode berbahaya ke lapisan integrasi Klue. Kode itu mengumpulkan setiap token OAuth yang dimiliki Klue untuk integrasi pelanggan—Salesforce, HubSpot, Gong, SharePoint, Zoom, dan lainnya . Dengan token tersebut, peretas langsung mengakses lingkungan Salesforce tanpa memerlukan kredensial lain.

📊 Detail Eksfiltrasi Data

Peretas tidak menyedot data secara diam-diam. Perusahaan keamanan ReliaQuest mengamati aktivitas tersebut dan melaporkan bahwa peretas melontarkan hampir 1.000 kueri API dalam satu semburan 15 menit dan mempertahankan jendela ekstraksi berkelanjutan yang melebihi enam jam . Total eksfiltrasi berlangsung sekitar 24 jam . Peretas mengakses titik akhir Salesforce REST API seperti /services/data/v59.0/query/*, menggunakan skrip Python otomatis untuk mengekstrak data secara massal . Data yang dicuri terbatas pada informasi CRM dan penjualan, bukan sistem internal atau kredensial organisasi yang terkena dampak .

⚡ Tanggapan Klue dan Salesforce

• Klue mendeteksi aktivitas tidak sah pada 12 Juni dan mulai memberi tahu pelanggan pada 13 Juni. Perusahaan memutus integrasi dan bekerja dengan pelanggan yang terkena dampak untuk memutar token . Klue mengonfirmasi bahwa peretas menggunakan kredensial lama yang disusupi untuk mendapatkan token OAuth dan mengakses lingkungan Salesforce pelanggan .
• Salesforce menonaktifkan aplikasi Klue Battlecards di semua instance pelanggan yang terkena dampak pada 17 Juni 2026 pukul 19.22 BST, tanpa peringatan sebelumnya kepada pelanggan . Salesforce kemudian mendesak semua pelanggan Klue yang terhubung untuk memutar token OAuth dan meninjau log audit API untuk kueri yang tidak sah .

🕵️‍💻 Grup Ekstorsi Icarus dan Alias "mr bean"

Sebuah kelompok kriminal yang baru dilacak bernama Icarus mengaku bertanggung jawab. Kelompok ini telah aktif sejak sekitar April 2026 dan mulai mendaftarkan korban di situs kebocorannya pada akhir Juni . Icarus menghubungi korban melalui email menggunakan alias "mr bean" (huruf kecil), menuntut pembayaran dengan imbalan tidak mempublikasikan data Salesforce curian . Pada 22 Juni, Icarus mulai memposting data curian dari Huntress dan korban lainnya di situs kebocoran data khusus mereka . Kelompok ini adalah yang pertama diketahui menggunakan jalur Klue-OAuth-ke-Salesforce khusus ini, menandai pergeseran dari serangan yang dipimpin ShinyHunters sebelumnya pada integrasi Salesforce pihak ketiga serupa . Huntress mengonfirmasi bahwa data yang diposting Icarus sesuai dengan cakupan yang telah dilaporkan sebelumnya dan bahwa file untuk Huntress sifatnya terbatas .

🔍 Mengapa Ini Penting

Pelanggaran ini bukan insiden terisolasi. Ini adalah pelanggaran rantai pasok OAuth Salesforce besar ketiga dalam waktu kurang dari setahun, setelah serangan terhadap Drift (Salesloft) dan Gainsight . Polanya konsisten: peretas menargetkan hub integrasi, mencuri token OAuth, dan menggunakannya untuk mengakses lingkungan CRM tanpa memicu alarm karena kueri berasal dari aplikasi pihak ketiga yang tepercaya. Pelanggaran Klue juga menggarisbawahi bahaya kredensial yatim piatu di lingkungan SaaS—kredensial yang dibuat untuk prototipe dan tidak pernah dinonaktifkan menjadi titik kegagalan tunggal bagi ratusan organisasi Salesforce perusahaan .