Ataque de supply chain à Klue: credencial esquecida expõe dados do Salesforce de dezenas de empresas

Os dados roubados incluem contatos comerciais, leads de vendas, históricos de casos de suporte ao cliente, nomes, endereços de e-mail, números de telefone e informações de preços . Este é o terceiro ataque a supply chain via OAuth do Salesforce em dez meses, depois dos ataques anteriores ao Drift (Salesloft) e ao Gainsight .

📋 Quem foi afetado

Os invasores usaram os tokens OAuth roubados para acessar dados do Salesforce de centenas de clientes empresariais da Klue . As seguintes organizações confirmaram publicamente ou foram citadas como vítimas:

A Huntress publicou um artigo detalhado chamando o incidente de "efeito dominó de segurança", observando que o grupo Icarus listou posteriormente os dados da Huntress em seu site de vazamento .

🔑 Como o ataque aconteceu

A cadeia do ataque foi direta e explorou um ponto cego comum em segurança de SaaS: credenciais esquecidas. A Klue havia criado uma credencial OAuth para um protótipo de integração que nunca foi implantado e nunca foi removido dos sistemas ativos . Em 11 de junho, o grupo Icarus encontrou essa credencial, autenticou-se no backend da Klue e enviou código malicioso para a camada de integração. Esse código coletou todos os tokens OAuth que a Klue mantinha para integrações de clientes — Salesforce, HubSpot, Gong, SharePoint, Zoom e outros . De posse desses tokens, os invasores consultaram diretamente os ambientes Salesforce, sem precisar de outras credenciais.

📊 A exfiltração de dados em detalhes

Os invasores não agiram silenciosamente. A empresa de segurança ReliaQuest observou a atividade e relatou que o invasor disparou quase 1.000 requisições de API em uma única rajada de 15 minutos e manteve janelas de extração sustentadas que excederam seis horas . A exfiltração total durou aproximadamente 24 horas . Os invasores consultaram endpoints da API REST do Salesforce, como /services/data/v59.0/query/*, usando scripts Python automatizados para extrair registros em massa . Os dados roubados se limitaram a informações de CRM e vendas, sem comprometer sistemas internos ou credenciais das organizações afetadas .

⚡ Como Klue e Salesforce responderam

• Klue detectou a atividade não autorizada em 12 de junho e começou a notificar os clientes em 13 de junho. A empresa cortou as integrações e trabalhou com os clientes afetados para rotacionar os tokens . A Klue confirmou que os invasores usaram uma credencial legada comprometida para obter tokens OAuth e acessar ambientes Salesforce de clientes .
• Salesforce desativou o aplicativo Klue Battlecards em todas as instâncias de clientes afetados às 19h22 (horário de Brasília) de 17 de junho de 2026, sem aviso prévio aos clientes . Posteriormente, a Salesforce instou todos os clientes conectados à Klue a rotacionar tokens OAuth e revisar logs de auditoria da API em busca de consultas não autorizadas .

🕵️‍💻 O grupo de extorsão Icarus e o pseudônimo "mr bean"

Um grupo criminoso recém-rastreado, autodenominado Icarus, assumiu a responsabilidade. O grupo está ativo desde aproximadamente abril de 2026 e começou a listar vítimas em seu site de vazamento no final de junho . O Icarus entrou em contato com as vítimas por e-mail usando o pseudônimo "mr bean" (em minúsculas), exigindo pagamento em troca de não publicar os dados roubados do Salesforce . Em 22 de junho, o Icarus começou a publicar dados roubados da Huntress e de outras vítimas em seu site dedicado de vazamento de dados . O grupo é o primeiro a usar este pipeline específico Klue-OAuth-Salesforce, marcando uma mudança em relação aos ataques anteriores liderados pelo ShinyHunters contra integrações semelhantes de terceiros com o Salesforce . A Huntress confirmou que os dados publicados pelo Icarus correspondiam ao escopo do que já havia sido relatado e que os arquivos relativos à Huntress eram de natureza limitada .

🔍 Por que isso importa

Esta violação não é um incidente isolado. É o terceiro grande ataque a supply chain via OAuth do Salesforce em menos de um ano, depois dos ataques ao Drift (Salesloft) e ao Gainsight . O padrão é consistente: os invasores miram o hub de integração, roubam tokens OAuth e os usam para acessar ambientes de CRM sem disparar alarmes, pois as consultas vêm de um aplicativo terceirizado de confiança. A violação da Klue também ressalta o perigo de credenciais órfãs em ambientes SaaS — uma credencial criada para um protótipo e nunca desativada tornou-se o ponto único de falha para centenas de organizações Salesforce empresariais .