Atak na Klue w czerwcu 2026: Zapomniane hasło otworzyło drzwi do Salesforce dziesiątkom firm

🔓 Przebieg ataku krok po kroku

Atak na Klue, kanadyjską platformę analityki rynkowej, rozpoczął się 11 czerwca 2026 roku. Wejściem do systemu nie był zaawansowany exploit, ale zapomniane dane logowania do prototypu integracji, który Klue stworzyło, nigdy nie wdrożyło i nigdy nie usunęło . Te stare, wciąż aktywne dane OAuth pozwoliły hakerom uwierzytelnić się w infrastrukturze integracyjnej Klue .

Gdy znaleźli się w środku, wstrzyknęli złośliwy kod, który zebrał tokeny OAuth dla Salesforce i innych integracji stron trzecich (m.in. HubSpot, Gong, SharePoint, Zoom) ze środowisk klientów Klue . Mając te tokeny, atakujący podszyli się pod aplikację Klue i za pomocą API REST Salesforce pobrali dane, wykonując prawie 1000 zapytań na każde 15 minut w skoncentrowanych seriach przez około 24 godziny .

Gdy Klue poinformowało klientów 13 czerwca, hakerzy zdążyli już wykraść tokeny dla setek podłączonych organizacji Salesforce . Skradzione dane to m.in. kontakty biznesowe, leady sprzedażowe, historie przypadków obsługi klienta, imiona, nazwiska, adresy e-mail, numery telefonów i informacje o cenach .

👥 Kto został poszkodowany?

Atak dotknął setki klientów korporacyjnych Klue . Oto firmy, które publicznie potwierdziły, że padły ofiarą:

Organizacja	Status	Źródło
Huntress	Potwierdzone przez blog Huntress
Recorded Future	Potwierdzone przez obie firmy
Tanium	Ujawnione przez Infosecurity Magazine
Jamf	Ujawnione przez Infosecurity Magazine
HackerOne	Wymienione przez TechCrunch i LinkedIn
Kudelski Security	Wymienione w raportach o naruszeniu
Snyk	Wymienione w raportach o naruszeniu
Insurity	Wymienione w raportach o naruszeniu
Sprout Social	Wymienione w raportach o naruszeniu
LastPass	Potwierdzone przez TNW; skradziono dane osobowe klientów i historię zgłoszeń

Huntress opublikował szczegółowy wpis, nazywając incydent "kaskadowym efektem w łańcuchu dostaw" i zauważając, że grupa Icarus później opublikowała dane Huntress na swojej stronie z wyciekami .

🔑 Szczegóły techniczne kradzieży danych

Atakujący nie działali po cichu. Firma ReliaQuest zaobserwowała, że hakerzy wykonali prawie 1000 zapytań API w ciągu jednej 15-minutowej serii, a łączny czas ekstrakcji danych wynosił około 24 godzin . Używali zautomatyzowanych skryptów w Pythonie do masowego pobierania rekordów poprzez endpointy Salesforce REST API, takie jak /services/data/v59.0/query/* . Skradzione dane ograniczały się do informacji CRM i sprzedażowych, bez dostępu do wewnętrznych systemów ani haseł zaatakowanych firm .

⚡ Reakcja Klue i Salesforce

• Klue wykryło nieautoryzowaną aktywność 12 czerwca i zaczęło powiadamiać klientów 13 czerwca. Firma odcięła integracje i pomogła klientom w rotacji tokenów . Klue potwierdziło, że atakujący użyli skompromitowanych, przestarzałych danych logowania do uzyskania tokenów OAuth .
• Salesforce wyłączył aplikację Klue Battlecards we wszystkich dotkniętych instancjach klientów 17 czerwca 2026 roku o godzinie 19:22 czasu brytyjskiego, bez wcześniejszego ostrzeżenia . Salesforce wezwał wszystkich klientów Klue do rotacji tokenów OAuth i przejrzenia dzienników audytu API .

🕵️‍💻 Grupa wymuszeń Icarus i pseudonim "mr bean"

Nowo zidentyfikowana grupa przestępcza Icarus przyznała się do ataku. Działa od około kwietnia 2026 roku i pod koniec czerwca zaczęła publikować ofiary na swojej stronie . Icarus kontaktował się z ofiarami e-mailem, używając pseudonimu "mr bean" (małymi literami), żądając zapłaty w zamian za niepublikowanie skradzionych danych . 22 czerwca Icarus opublikował skradzione dane Huntress i innych ofiar . Grupa ta jako pierwsza wykorzystała tę konkretną ścieżkę Klue-OAuth-Salesforce, co stanowi zmianę w stosunku do wcześniejszych ataków ShinyHunters na podobne integracje . Huntress potwierdził, że opublikowane dane były zgodne z wcześniej zgłoszonym zakresem i miały ograniczony charakter .

🔍 Dlaczego to jest ważne

To nie jest odosobniony incydent. To trzecie poważne naruszenie bezpieczeństwa łańcucha dostaw OAuth Salesforce w ciągu niespełna roku, po atakach na Drift (Salesloft) i Gainsight . Wzór jest ten sam: atakujący celują w centrum integracji, kradną tokeny OAuth i używają ich do dostępu do środowisk CRM bez wzbudzania alarmów, ponieważ zapytania pochodzą z zaufanej aplikacji zewnętrznej. Naruszenie Klue podkreśla również zagrożenie, jakie stanowią porzucone dane logowania w środowiskach SaaS – dane logowania utworzone dla prototypu i nigdy nie wyłączone stały się punktem krytycznym dla setek organizacji Salesforce .