Så gick Klue-attacken till – glömd inloggning blev nyckeln till stulna Salesforce-data

Den 11 juni 2026 genomfördes en omfattande supply chain-attack mot Klue, en kanadensisk plattform för marknadsintelligens som används av hundratals företag för att synkronisera konkurrensanalys till Salesforce CRM. Angreppet började inte med någon avancerad sårbarhet – utan med en bortglömd inloggning som skapats för ett integrationsprototyp som aldrig togs i bruk och aldrig togs bort . Den döda OAuth-nyckeln fungerade fortfarande, vilket gjorde att angriparen kunde logga in i Klues integrationssystem . Väl inne pushade angriparna en skadlig kod som stal OAuth-token för Salesforce och andra tredjepartsintegrationer från Klues kundmiljöer . Med dessa token kunde de klä ut sig till Klue-appen och ställa frågor till kundernas Salesforce-system via Salesforce REST API – nästan 1 000 API-anrop per 15 minuter i koncentrerade skurar under ett dygn . När Klue larmade kunderna den 13 juni hade angriparen redan hunnit stjäla token till hundratals Salesforce-organisationer . Bland de stulna uppgifterna fanns företagskontakter, säljleads, ärenden från kundsupport samt namn, e-postadresser, telefonnummer och prisinformation . Attacken är den tredje stora supply chain-attacken mot Salesforce OAuth på tio månader, efter tidigare intrång mot Drift (Salesloft) och Gainsight .

📋 Vilka drabbades?

Angriparna använde de stulna OAuth-tokenen för att komma åt Salesforce-data hos hundratals av Klues företagskunder . Följande organisationer har offentligt bekräftats eller namngetts som offer:

Organisation	Status	Källa
Huntress	Bekräftat i Huntress blogginlägg
Recorded Future	Bekräftat av båda företagen
Tanium	Offentliggjort via Infosecurity Magazine
Jamf	Offentliggjort via Infosecurity Magazine
HackerOne	Namngett av TechCrunch och LinkedIn
Kudelski Security	Namngett i rapportering
Snyk	Namngett i rapportering
Insurity	Namngett i rapportering
Sprout Social	Namngett i rapportering
LastPass	Bekräftat via TNW; kunders personuppgifter och supportärenden stulna

Huntress publicerade ett detaljerat inlägg där de kallade händelsen en "säkerhetsmässig dominoeffekt", och noterade att Icarus senare publicerade Huntress-data på sin läcksajt .

🔑 Hur attacken gick till

Attackkedjan var direkt och utnyttjade en vanlig blind fläck inom SaaS-säkerhet: bortglömda inloggningsuppgifter. Klue hade skapat en OAuth-nyckel för ett integrationsprototyp som aldrig togs i bruk och aldrig togs bort från de aktiva systemen . Den 11 juni hittade Icarus-gruppen nyckeln, loggade in på Klues backend och pushade skadlig kod till Klues integrationslager. Koden samlade in alla OAuth-token som Klue hade för kundintegrationer – Salesforce, HubSpot, Gong, SharePoint, Zoom med flera . Med dessa token kunde angriparna ställa frågor direkt till Salesforce-miljöerna utan att behöva några andra lösenord.

📊 Dataexfiltreringen i detalj

Angriparna smög inte ut data i smyg. Säkerhetsföretaget ReliaQuest observerade aktiviteten och rapporterade att angriparen gjorde nästan 1 000 API-frågor på 15 minuter och höll på med ihållande extraktion i över sex timmar . Totalt pågick exfiltreringen i ungefär 24 timmar . Angriparna använde Salesforce REST API, bland annat slutpunkten /services/data/v59.0/query/*, och automatiserade Python-skript för att massexportera poster . De stulna uppgifterna var begränsade till CRM- och försäljningsinformation – inte interna system eller inloggningar hos de drabbade organisationerna .

⚡ Så svarade Klue och Salesforce

• Klue upptäckte obehörig aktivitet den 12 juni och började meddela kunder den 13 juni. Företaget bröt integrationer och hjälpte drabbade kunder att byta token . Klue bekräftade att angriparna använt en komprometterad gammal inloggning för att få tag på OAuth-tokenen och komma åt kundernas Salesforce-miljöer .
• Salesforce inaktiverade Klue Battlecards-appen i alla berörda kundinstanser klockan 19:22 brittisk tid den 17 juni 2026, utan förvarning till kunderna . Salesforce uppmanade sedan alla uppkopplade Klue-kunder att byta OAuth-token och granska API-revisionsloggar för obehöriga frågor .

🕵️‍💻 Icarus utpressningsgrupp och aliaset "mr bean"

En ny grupp som kallar sig Icarus tog på sig ansvaret. Gruppen har varit aktiv sedan ungefär april 2026 och började lista offer på sin läcksajt i slutet av juni . Icarus kontaktade offren via e-post under aliaset "mr bean" (med gemener) och krävde betalning för att inte publicera stulna Salesforce-data . Den 22 juni började Icarus publicera stulna data från Huntress och andra offer på sin dedikerade läcksajt . Gruppen är den första kända som använt just denna Klue-OAuth-till-Salesforce-pipeline, vilket markerar en förskjutning från tidigare attacker av ShinyHunters mot liknande tredjepartsintegrationer i Salesforce . Huntress bekräftade att de data som Icarus publicerade stämde överens med vad som rapporterats och att filerna för Huntress var begränsade .

🔍 Varför detta är viktigt

Detta intrång är inte en isolerad händelse. Det är den tredje stora supply chain-attacken mot Salesforce OAuth på mindre än ett år, efter attacker mot Drift (Salesloft) och Gainsight . Mönstret är konsekvent: angriparna riktar in sig på integrationshubben, stjäl OAuth-token och använder dem för att komma åt CRM-miljöer utan att larma, eftersom frågorna kommer från en betrodd tredjepartsapp. Klue-intrånget understryker också faran med övergivna inloggningsuppgifter i SaaS-miljöer – en nyckel skapad för ett prototyp och aldrig borttagen blev den svaga punkten för hundratals företags Salesforce-organisationer .