Serangan Rantaian Bekalan Klue Jun 2026

Data yang dicuri termasuk kenalan perniagaan, petunjuk jualan, sejarah kes sokongan pelanggan, nama, alamat emel, nombor telefon dan maklumat harga . Serangan ini merupakan pelanggaran rantaian bekalan OAuth Salesforce yang ketiga dalam tempoh sepuluh bulan, selepas serangan ke atas Drift (Salesloft) dan Gainsight .

📋 Siapa yang Terkesan?

Penyerang menggunakan token OAuth yang dicuri untuk mengakses data Salesforce kepunyaan beratus-ratus pelanggan korporat Klue . Organisasi berikut telah mengesahkan atau dinamakan sebagai mangsa:

Huntress menerbitkan catatan terperinci yang menggelar insiden ini sebagai 'kesan domino keselamatan,' dengan menyatakan bahawa Icarus kemudiannya menyenaraikan data Huntress di laman kebocorannya .

🔑 Bagaimana Serangan Berlaku?

Rantaian serangan adalah langsung dan mengeksploitasi titik buta keselamatan SaaS yang biasa: kredential yang dilupakan. Klue telah mencipta kredential OAuth untuk prototaip integrasi yang tidak pernah digunakan dan tidak pernah dikeluarkan daripada sistem aktif . Pada 11 Jun, kumpulan Icarus menemui kredential itu, mengesahkan ke bahagian belakang Klue, dan menolak kod hasad ke lapisan integrasi Klue. Kod tersebut mengumpul setiap token OAuth yang dipegang Klue untuk integrasi pelanggan—Salesforce, HubSpot, Gong, SharePoint, Zoom, dan banyak lagi . Dengan token tersebut, penyerang terus membuat pertanyaan ke persekitaran Salesforce tanpa memerlukan sebarang kredential lain.

📊 Perincian Eksfiltrasi Data

Penyerang tidak mencuri data secara senyap. Firma keselamatan ReliaQuest memerhatikan aktiviti itu dan melaporkan bahawa penyerang menghantar hampir 1,000 pertanyaan API dalam satu kelompok 15 minit dan mengekalkan tempoh pengekstrakan yang berterusan melebihi enam jam . Jumlah eksfiltrasi berjalan selama kira-kira 24 jam . Penyerang membuat pertanyaan ke titik akhir API REST Salesforce seperti /services/data/v59.0/query/*, menggunakan skrip Python automatik untuk mengekstrak rekod secara pukal . Data yang dicuri terhad kepada maklumat CRM dan jualan, bukan sistem dalaman atau kredential organisasi yang terjejas .

⚡ Tindak Balas Klue dan Salesforce

• Klue mengesan aktiviti tanpa kebenaran pada 12 Jun dan mula memberitahu pelanggan pada 13 Jun. Syarikat itu memotong integrasi dan bekerjasama dengan pelanggan yang terjejas untuk memutarkan token . Klue mengesahkan bahawa penyerang menggunakan kredential warisan yang terjejas untuk mendapatkan token OAuth dan mengakses persekitaran Salesforce pelanggan .
• Salesforce melumpuhkan aplikasi Klue Battlecards merentas semua contoh pelanggan yang terjejas pada jam 7:22 malam BST, 17 Jun 2026, tanpa amaran awal kepada pelanggan . Salesforce kemudiannya menggesa semua pelanggan Klue yang bersambung untuk memutarkan token OAuth dan menyemak log audit API untuk pertanyaan tanpa kebenaran .

🕵️‍💻 Kumpulan Pemerasan Icarus dan Alias 'mr bean'

Kumpulan jenayah yang baru dikesan menamakan dirinya Icarus mengaku bertanggungjawab. Kumpulan ini telah aktif sejak sekitar April 2026 dan mula menyenaraikan mangsa di laman kebocorannya pada akhir Jun . Icarus menghubungi mangsa melalui emel menggunakan alias 'mr bean' (huruf kecil), menuntut bayaran sebagai pertukaran untuk tidak menerbitkan data Salesforce yang dicuri . Pada 22 Jun, Icarus mula memuat naik data curi dari Huntress dan mangsa lain di laman web kebocoran data khusus mereka . Kumpulan ini adalah yang pertama diketahui menggunakan saluran paip Klue-OAuth-ke-Salesforce khusus ini, menandakan peralihan daripada serangan pimpinan ShinyHunters sebelum ini pada integrasi Salesforce pihak ketiga yang serupa . Huntress mengesahkan bahawa data yang disiarkan Icarus sepadan dengan skop apa yang telah dilaporkan dan bahawa fail untuk Huntress adalah terhad .

🔍 Kenapa Ini Penting?

Pelanggaran ini bukan insiden terpencil. Ia adalah pelanggaran rantaian bekalan OAuth Salesforce utama ketiga dalam masa kurang setahun, selepas serangan ke atas Drift (Salesloft) dan Gainsight . Coraknya adalah konsisten: penyerang menyasarkan hab integrasi, mencuri token OAuth, dan menggunakannya untuk mengakses persekitaran CRM tanpa mencetuskan penggera kerana pertanyaan datang daripada aplikasi pihak ketiga yang dipercayai. Pelanggaran Klue juga menekankan bahaya kredential yatim dalam persekitaran SaaS—kredential yang dicipta untuk prototaip dan tidak pernah dinyahaktifkan menjadi titik kegagalan tunggal untuk beratus-ratus organisasi Salesforce korporat .