Klue-angrepet i juni 2026: Glemt passord førte til datalekkasje fra Salesforce hos dusinvis av bedrifter

De stjålne dataene omfattet blant annet forretningskontakter, salgslead, kundestøttehistorikk, navn, e-postadresser, telefonnumre og prisinformasjon . Angrepet er det tredje store OAuth-leverandørinbruddet mot Salesforce på ti måneder, etter tidligere angrep mot Drift (Salesloft) og Gainsight .

Hvem ble rammet?

Angriperne brukte de stjålne OAuth-tokenene til å få tilgang til Salesforce-data hos hundrevis av Klues bedriftskunder . Følgende organisasjoner har offentlig bekreftet eller blitt navngitt som ofre:

Huntress publiserte en detaljert analyse og kalte hendelsen en «sikkerhetsdominoeffekt», og bemerket at Icarus senere listet opp Huntress-data på nettstedet sitt .

Slik foregikk angrepet

Angrepskjeden var direkte og utnyttet en vanlig blindflekk i SaaS-sikkerhet: glemt legitimasjon. Klue hadde opprettet en OAuth-legitimasjon for en prototypeintegrasjon som aldri ble tatt i bruk og aldri fjernet fra aktive systemer . 11. juni fant Icarus-gruppen denne legitimasjonen, autentiserte seg mot Klues backend, og presset ut skadelig kode i Klues integrasjonslag. Koden samlet inn alle OAuth-tokener Klue hadde for kundeintegrasjoner – Salesforce, HubSpot, Gong, SharePoint, Zoom og flere . Med disse tokenene kunne angriperne kjøre spørringer direkte mot Salesforce-miljøer uten å trenge andre legitimasjonsdetaljer.

Dataeksfiltrering i detalj

Angriperne sugde ikke dataene stille. Sikkerhetsselskapet ReliaQuest observerte aktiviteten og rapporterte at angriperen sendte nesten 1 000 API-spørringer i løpet av et enkelt 15-minutters utbrudd, og opprettholdt vedvarende eksfiltreringsvinduer på over seks timer . Totalt pågikk eksfiltreringen i cirka 24 timer . Angriperne brukte Salesforce REST API-endepunkter som /services/data/v59.0/query/*, med automatiserte Python-skript for å hente ut store mengder data . De stjålne dataene var begrenset til CRM- og salgsinformasjon, ikke interne systemer eller legitimasjon hos de berørte organisasjonene .

Hvordan Klue og Salesforce reagerte

• Klue oppdaget uautorisert aktivitet 12. juni og begynte å varsle kunder 13. juni. Selskapet kuttet integrasjoner og jobbet med berørte kunder for å bytte ut tokener . Klue bekreftet at angriperne brukte en kompromittert, foreldet legitimasjon for å få OAuth-tokener og få tilgang til kunders Salesforce-miljøer .
• Salesforce deaktiverte Klue Battlecards-appen på alle berørte kundeinstanser klokken 19:22 BST 17. juni 2026, uten forhåndsvarsel til kundene . Salesforce oppfordret senere alle tilkoblede Klue-kunder til å bytte ut OAuth-tokener og gjennomgå API-revisjonslogger for uautoriserte spørringer .

Utpressingsgruppen Icarus og aliaset «mr bean»

En nyregistrert kriminell gruppe som kaller seg Icarus, tok på seg ansvaret. Gruppen har vært aktiv siden omtrent april 2026 og begynte å liste opp ofre på nettstedet sitt i slutten av juni . Icarus kontaktet ofre via e-post under aliaset «mr bean» (små bokstaver) og krevde betaling i bytte mot å ikke publisere stjålne Salesforce-data . 22. juni begynte Icarus å publisere stjålne data fra Huntress og andre ofre på sitt dedikerte datalekkasje-nettsted . Gruppen er den første som er kjent for å bruke denne spesifikke Klue–OAuth–Salesforce-pipelinen, noe som markerer et skifte fra de tidligere ShinyHunters-ledede angrepene på lignende tredjeparts Salesforce-integrasjoner . Huntress bekreftet at dataene Icarus publiserte stemte overens med omfanget av det som allerede var rapportert, og at filene for Huntress var begrenset i omfang .

Hvorfor dette er viktig

Dette bruddet er ikke en isolert hendelse. Det er det tredje store OAuth-leverandørinbruddet mot Salesforce på under ett år, etter angrepene mot Drift (Salesloft) og Gainsight . Mønsteret er konsekvent: angripere går etter integrasjonshubben, stjeler OAuth-tokener, og bruker dem til å få tilgang til CRM-miljøer uten at alarmer utløses, fordi spørringene kommer fra en betrodd tredjepartsapp. Klue-bruddet understreker også faren ved foreldet legitimasjon i SaaS-miljøer – en legitimasjon opprettet for en prototype og aldri fjernet ble det eneste feilpunktet for hundrevis av bedrifters Salesforce-organisasjoner .