Klue-lek in toeleveringsketen juni 2026: vergeten inloggegevens leggen Salesforce-data van tientallen bedrijven bloot

Op 11 juni 2026 wisten aanvallers binnen te dringen bij Klue, een in Vancouver gevestigd marktinformatieplatform dat door honderden bedrijven wordt gebruikt om concurrerende 'battlecards' te synchroniseren met Salesforce CRM. Het toegangspunt was geen geavanceerde zero-day-kwetsbaarheid, maar een vergeten inloggegeven van een prototype-integratie dat Klue ooit had gemaakt, nooit had ingezet en nooit had verwijderd . Dat verouderde OAuth-inloggegeven werkte nog steeds, waardoor de aanvaller zich kon authenticeren bij de integratie-infrastructuur van Klue . Eenmaal binnen plaatsten de aanvallers kwaadaardige code-updates die OAuth-tokens verzamelden voor Salesforce en andere externe integraties uit de klantomgevingen van Klue . Met die tokens deden de aanvallers zich voor als de Klue-app en bevroegen ze gekoppelde Salesforce CRM-omgevingen via de Salesforce REST API. Ze vuurden in ongeveer 24 uur tijd bijna 1.000 API-aanvragen per 15 minuten af in geconcentreerde uitbarstingen . Tegen de tijd dat Klue klanten op 13 juni waarschuwde, hadden de aanvallers al tokens buitgemaakt voor honderden gekoppelde Salesforce-omgevingen . De gestolen gegevens omvatten zakelijke contacten, verkoop leads, klantondersteuningsgeschiedenissen, namen, e-mailadressen, telefoonnummers en prijsinformatie . De aanval is de derde Salesforce-OAuth-lek in de toeleveringsketen in tien maanden, na eerdere aanvallen op Drift (Salesloft) en Gainsight .

📋 Wie werd getroffen?

De aanvallers gebruikten de gestolen OAuth-tokens om Salesforce-gegevens te openen van honderden zakelijke klanten van Klue . De volgende organisaties hebben openlijk bevestigd dat ze zijn getroffen of zijn genoemd als slachtoffers:

Organisatie	Status	Bron
Huntress	Bevestigd via blogpost Huntress
Recorded Future	Bevestigd door beide bedrijven
Tanium	Gemeld via Infosecurity Magazine
Jamf	Gemeld via Infosecurity Magazine
HackerOne	Genoemd door TechCrunch en LinkedIn
Kudelski Security	Genoemd in meldingen over inbreuk
Snyk	Genoemd in meldingen over inbreuk
Insurity	Genoemd in meldingen over inbreuk
Sprout Social	Genoemd in meldingen over inbreuk
LastPass	Bevestigd via TNW; klant-PII en ondersteuningsdata gestolen

Huntress publiceerde een gedetailleerd artikel waarin het incident een 'security domino-effect' werd genoemd, en merkte op dat Icarus later Huntress-gegevens op zijn lekwebsite plaatste .

🔑 Hoe de aanval verliep

De aanvalsketen was rechttoe rechtaan en maakte gebruik van een veelvoorkomende blinde vlek in SaaS-beveiliging: vergeten inloggegevens. Klue had een OAuth-inloggegeven aangemaakt voor een prototype-integratie die nooit werd ingezet en nooit uit actieve systemen werd verwijderd . Op 11 juni vond de Icarus-groep dat inloggegeven, authenticeerde zich bij de backend van Klue en plaatste kwaadaardige code in de integratielaag van Klue. Die code verzamelde elk OAuth-token dat Klue bewaarde voor klantintegraties—Salesforce, HubSpot, Gong, SharePoint, Zoom en meer . Met die tokens bevroegen de aanvallers rechtstreeks Salesforce-omgevingen, zonder dat ze andere inloggegevens nodig hadden.

📊 Data-exfiltratie in detail

De aanvallers zuigden niet rustig data weg. Beveiligingsbedrijf ReliaQuest zag de activiteit en meldde dat de aanvaller bijna 1.000 API-query's afvuurde in een enkele uitbarsting van 15 minuten en aanhoudende extractievensters van meer dan zes uur handhaafde . De totale exfiltratie duurde ongeveer 24 uur . De aanvallers bevroegen Salesforce REST API-eindpunten zoals /services/data/v59.0/query/* en gebruikten geautomatiseerde Python-scripts om in bulk records te extraheren . De gestolen gegevens waren beperkt tot CRM- en verkoopinformatie, niet tot interne systemen of inloggegevens van de getroffen organisaties .

⚡ Hoe Klue en Salesforce reageerden

• Klue ontdekte op 12 juni ongeautoriseerde activiteit en begon op 13 juni klanten te waarschuwen. Het bedrijf schakelde integraties uit en werkte met getroffen klanten samen om tokens te vervangen . Klue bevestigde dat aanvallers een gecompromitteerd verouderd inloggegeven hadden gebruikt om OAuth-tokens te verkrijgen en toegang te krijgen tot Salesforce-omgevingen van klanten .
• Salesforce schakelde de Klue Battlecards-app op 17 juni 2026 om 19:22 uur BST uit in alle getroffen klantinstanties, zonder voorafgaande waarschuwing aan klanten . Salesforce drong er later bij alle aangesloten Klue-klanten op aan om OAuth-tokens te vervangen en API-auditlogs te controleren op ongeautoriseerde query's .

🕵️‍💻 De Icarus-afpersingsgroep en het alias 'mr bean'

Een nieuw getraceerde criminele groep die zichzelf Icarus noemt, eiste de verantwoordelijkheid op. De groep is actief sinds ongeveer april 2026 en begon eind juni slachtoffers op haar lekwebsite te plaatsen . Icarus nam per e-mail contact op met slachtoffers onder het alias 'mr bean' (kleine letters) en eiste betaling in ruil voor het niet publiceren van gestolen Salesforce-gegevens . Op 22 juni begon Icarus gestolen gegevens van Huntress en andere slachtoffers te plaatsen op zijn speciale datalekwebsite . De groep is de eerste die bekend staat om het gebruik van deze specifieke Klue-OAuth-naar-Salesforce-pijplijn, wat een verschuiving markeert ten opzichte van de eerdere door ShinyHunters geleide aanvallen op vergelijkbare externe Salesforce-integraties . Huntress bevestigde dat de door Icarus geplaatste gegevens overeenkwamen met de omvang van wat al was gemeld en dat de bestanden voor Huntress beperkt van aard waren .

🔍 Waarom dit belangrijk is

Deze inbreuk is geen geïsoleerd incident. Het is de derde grote Salesforce-OAuth-lek in de toeleveringsketen in minder dan een jaar, na aanvallen op Drift (Salesloft) en Gainsight . Het patroon is consistent: aanvallers richten zich op de integratiehub, stelen OAuth-tokens en gebruiken die om toegang te krijgen tot CRM-omgevingen zonder alarm te slaan, omdat de query's afkomstig zijn van een vertrouwde externe app. De Klue-inbreuk onderstreept ook het gevaar van verweesde inloggegevens in SaaS-omgevingen—een inloggegeven dat was aangemaakt voor een prototype en nooit was verwijderd, werd het enige zwakke punt voor honderden zakelijke Salesforce-omgevingen .