Attacco alla supply chain di Klue: credenziale dimenticata, dati Salesforce rubati

📋 Chi è stato colpito

Gli aggressori hanno usato i token OAuth rubati per accedere ai dati Salesforce di centinaia di clienti enterprise di Klue . Le seguenti organizzazioni hanno confermato pubblicamente o sono state indicate come vittime:

Huntress ha pubblicato un post dettagliato definendo l'incidente un "effetto domino della sicurezza", notando che Icarus ha successivamente elencato i dati di Huntress sul proprio sito di leak .

🔑 Come si è svolto l'attacco

La catena d'attacco è stata lineare e ha sfruttato un punto cieco comune nella sicurezza SaaS: le credenziali dimenticate. Klue aveva creato una credenziale OAuth per un prototipo di integrazione che non è mai stato distribuito né rimosso dai sistemi attivi . L'11 giugno, il gruppo Icarus ha trovato quella credenziale, si è autenticato al backend di Klue e ha caricato codice malevolo nel layer di integrazione. Quel codice ha raccolto ogni token OAuth che Klue possedeva per le integrazioni dei clienti: Salesforce, HubSpot, Gong, SharePoint, Zoom e molti altri . Con quei token, gli aggressori hanno interrogato direttamente gli ambienti Salesforce senza bisogno di altre credenziali.

📊 Esfiltrazione dati in dettaglio

Gli aggressori non hanno sottratto dati in modo silenzioso. La società di sicurezza ReliaQuest ha osservato l'attività e ha riferito che l'aggressore ha effettuato quasi 1.000 query API in un singolo intervallo di 15 minuti, con finestre di estrazione sostenuta che superavano le sei ore . L'esfiltrazione totale è durata circa 24 ore . Gli aggressori hanno interrogato endpoint dell'API REST di Salesforce come /services/data/v59.0/query/*, utilizzando script Python automatizzati per estrarre in blocco i record . I dati rubati erano limitati a informazioni CRM e di vendita, non a sistemi interni o credenziali delle organizzazioni colpite .

⚡ La risposta di Klue e Salesforce

• Klue ha rilevato l'attività non autorizzata il 12 giugno e ha iniziato a notificare i clienti il 13 giugno. L'azienda ha interrotto le integrazioni e ha collaborato con i clienti colpiti per ruotare i token . Klue ha confermato che gli aggressori hanno utilizzato una credenziale legacy compromessa per ottenere i token OAuth e accedere agli ambienti Salesforce dei clienti .
• Salesforce ha disabilitato l'app Klue Battlecards in tutte le istanze cliente interessate alle 19:22 BST del 17 giugno 2026, senza preavviso ai clienti . Salesforce ha poi esortato tutti i clienti Klue connessi a ruotare i token OAuth e a rivedere i log di audit API per query non autorizzate .

🕵️‍💻 Il gruppo di estorsione Icarus e l'alias "mr bean"

Un gruppo criminale di nuova formazione che si fa chiamare Icarus ha rivendicato la responsabilità. Il gruppo è attivo da circa aprile 2026 e ha iniziato a elencare le vittime sul proprio sito di leak alla fine di giugno . Icarus ha contattato le vittime via email usando l'alias "mr bean" (in minuscolo), chiedendo un pagamento in cambio della pubblicazione dei dati Salesforce rubati . Il 22 giugno, Icarus ha iniziato a pubblicare i dati rubati di Huntress e di altre vittime sul suo sito web dedicato . Il gruppo è il primo noto a utilizzare questo specifico percorso Klue-OAuth-to-Salesforce, segnando un cambiamento rispetto ai precedenti attacchi guidati da ShinyHunters su integrazioni Salesforce di terze parti simili . Huntress ha confermato che i dati pubblicati da Icarus corrispondevano alla portata di quanto già segnalato e che i file relativi a Huntress erano di natura limitata .

🔍 Perché è importante

Questa violazione non è un incidente isolato. È la terza grave violazione della supply chain OAuth di Salesforce in meno di un anno, dopo gli attacchi a Drift (Salesloft) e Gainsight . Il modello è costante: gli aggressori prendono di mira l'hub di integrazione, rubano i token OAuth e li usano per accedere agli ambienti CRM senza innescare allarmi, perché le query provengono da un'app di terze parti considerata affidabile. La violazione di Klue sottolinea anche il pericolo delle credenziali orfane negli ambienti SaaS: una credenziale creata per un prototipo e mai dismessa è diventata il singolo punto di fallimento per centinaia di organizzazioni enterprise Salesforce .