Забытый ключ, который стоил данных: как взломали Klue и украли Salesforce-информацию у десятков компаний

🚨 Что произошло

11 июня 2026 года злоумышленники взломали Klue — канадскую платформу конкурентной разведки, которой пользуются сотни компаний для синхронизации «карт ведения боя» (battlecards) с Salesforce CRM. Точкой входа стал не сложный эксплойт, а забытые учетные данные от заброшенного прототипа интеграции, который Klue создала, никогда не развернула и не отключила . Этот устаревший OAuth-токен всё ещё работал, что позволило атакующему пройти аутентификацию в интеграционной инфраструктуре Klue .

Попав внутрь, хакеры внедрили вредоносное обновление кода, которое собрало OAuth-токены для Salesforce и других сторонних интеграций из клиентских сред Klue . Имея эти токены, они выдали себя за приложение Klue и начали запрашивать подключённые Salesforce-окружения через REST API Salesforce. За примерно 24 часа было совершено почти 1000 API-вызовов каждые 15 минут концентрированными всплесками .

К моменту, когда Klue оповестила клиентов 13 июня, хакеры уже выкачали токены для сотен подключённых организаций Salesforce . Среди украденных данных: контакты, лиды, история обращения в поддержку, имена, адреса электронной почты, номера телефонов и информация о ценах . Эта атака стала третьим крупным взломом Salesforce через OAuth за десять месяцев — после атак на Drift (Salesloft) и Gainsight .

📋 Кто пострадал

Злоумышленники использовали украденные OAuth-токены для доступа к данным Salesforce сотен корпоративных клиентов Klue . Вот список организаций, которые публично подтвердили утечку или были названы в качестве жертв:

Организация	Статус	Источник
Huntress	Подтверждено в блоге Huntress
Recorded Future	Подтверждено обеими компаниями
Tanium	Упомянуто в Infosecurity Magazine
Jamf	Упомянуто в Infosecurity Magazine
HackerOne	Названо TechCrunch и LinkedIn
Kudelski Security	Упомянуто в отчётах об утечке
Snyk	Упомянуто в отчётах об утечке
Insurity	Упомянуто в отчётах об утечке
Sprout Social	Упомянуто в отчётах об утечке
LastPass	Подтверждено TNW; украдены PII клиентов и данные обращений в поддержку

Huntress опубликовал подробный пост, назвав инцидент «эффектом домино в безопасности» и отметив, что Icarus позже выложил данные Huntress на своём сайте утечек .

🔑 Как проходила атака

Цепочка атаки была прямой и эксплуатировала распространённую «слепую зону» безопасности SaaS — забытые учётные данные. Klue создала OAuth-учётку для прототипа интеграции, который никогда не был развёрнут и не удалён из активных систем . 11 июня группа Icarus нашла эту учётку, прошла аутентификацию в бэкенде Klue и внедрила вредоносный код в интеграционный слой. Этот код собрал все OAuth-токены, которые Klue хранила для клиентских интеграций — Salesforce, HubSpot, Gong, SharePoint, Zoom и другие . Используя эти токены, хакеры напрямую запрашивали Salesforce-окружения, не нуждаясь в других паролях.

📊 Детали кражи данных

Злоумышленники не просто тихо выкачивали данные. Компания ReliaQuest зафиксировала, что хакеры совершали почти 1000 API-запросов за 15 минут и поддерживали непрерывное извлечение данных более шести часов . Общая продолжительность кражи составила около 24 часов . Хакеры использовали такие эндпоинты Salesforce REST API, как /services/data/v59.0/query/*, и автоматизированные Python-скрипты для массового извлечения записей . Украденные данные ограничивались CRM- и коммерческой информацией и не затрагивали внутренние системы или пароли пострадавших организаций .

⚡ Реакция Klue и Salesforce

• Klue обнаружила несанкционированную активность 12 июня и начала уведомлять клиентов 13 июня. Компания отключила интеграции и помогла пострадавшим клиентам сменить токены . Klue подтвердила, что злоумышленники использовали скомпрометированные устаревшие учётные данные для получения OAuth-токенов и доступа к Salesforce-окружениям клиентов .
• Salesforce отключила приложение Klue Battlecards во всех затронутых инстансах клиентов 17 июня 2026 года в 19:22 по британскому летнему времени, не предупреждая клиентов заранее . Позже Salesforce призвала всех подключённых клиентов Klue сменить OAuth-токены и проверить журналы API на предмет несанкционированных запросов .

🕵️‍💻 Группа вымогателей Icarus и псевдоним «mr bean»

Недавно отслеженная криминальная группа, называющая себя Icarus, взяла на себя ответственность. Группа активна примерно с апреля 2026 года и начала публиковать жертв на своём сайте утечек в конце июня . Icarus связывалась с жертвами по электронной почте, используя псевдоним «mr bean» (строчными буквами), требуя выкуп за непубликацию украденных данных Salesforce . 22 июня Icarus начала публиковать украденные данные Huntress и других жертв на своём специализированном сайте утечек . Это первый известный случай, когда группа использовала именно такую схему Klue-OAuth-Salesforce, что знаменует собой сдвиг от более ранних атак ShinyHunters на подобные сторонние интеграции с Salesforce . Huntress подтвердила, что опубликованные Icarus данные соответствуют уже известному объёму, и файлы по Huntress были ограниченными .

🔍 Почему это важно

Это не изолированный инцидент. Это третья крупная утечка через OAuth в Salesforce за последние десять месяцев — после атак на Drift (Salesloft) и Gainsight . Схема повторяется: злоумышленники атакуют интеграционный хаб, крадут OAuth-токены и используют их для доступа к CRM без возникновения тревог, так как запросы приходят от доверенного стороннего приложения. Взлом Klue также подчёркивает опасность «осиротевших» учётных данных в SaaS-средах — учётка, созданная для прототипа и никогда не удалённая, стала единственной точкой отказа для сотен корпоративных Salesforce-организаций .