คำตอบเผยแพร่แล้ว4 วันที่ผ่านมาLast edited 4 วันที่ผ่านมา36 แหล่งที่มา

การโจมตีซัพพลายเชน Klue มิถุนายน 2026: จุดอ่อนจาก Credential ที่ถูกลืม เปิดทางขโมยข้อมูล Salesforce หลายสิบองค์กร

เมื่อวันที่ 11 มิถุนายน 2026 ผู้โจมตีใช้ credential ที่ถูกทิ้งร้างจากโปรเจกต์ต้นแบบของ Klue ซึ่งเป็นแพลตฟอร์มข่าวกรองทางการตลาด เพื่อผลักดันโค้ดอันตรายและขโมย OAuth token ของลูกค้าที่เชื่อมต่อ Salesforce กว่า 100 API... ข้อมูลที่ถูกขโมยประกอบด้วย ชื่อ ที่อยู่อีเมล เบอร์โทรศัพท์ ข้อมูลลูกค้าเป้าหมาย ราคา และประวัติกา...

ค้นหาและตรวจสอบข้อเท็จจริงด้วย Studio Global AI ดูหน้าที่กำลังมาแรงเพิ่มเติม

27K0

Search & fact-check with cited sources for What happened in the June 2026 supply chain attack on Klue, including how attackers used a stolenIllustration of the Klue supply chain attack chain: a forgotten credential, a compromised integration, and exfiltrated Salesforce CRM data.

AI พรอมต์

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What happened in the June 2026 supply chain attack on Klue, including how attackers used a stolen. Article summary: Here is a comprehensive, source-cited account of the June 2026 Klue supply chain attack.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual eviden

openai.com

เมื่อวันที่ 11 มิถุนายน 2026 ผู้โจมตีสามารถเจาะเข้าระบบของ Klue ซึ่งเป็นแพลตฟอร์มข่าวกรองทางการตลาด (market intelligence) จากแวนคูเวอร์ ที่องค์กรธุรกิจหลายร้อยแห่งใช้เพื่อซิงค์ 'battlecards' การแข่งขันเข้ากับ Salesforce CRM โดยจุดเริ่มต้นไม่ใช่ช่องโหว่ Zero-day ที่ซับซ้อน แต่เป็น credential ที่ถูกลืมจากระบบเชื่อมต่อต้นแบบที่ Klue เคยสร้าง ไม่เคยใช้งานจริง และไม่เคยลบทิ้ง credential OAuth ที่ไม่ได้ใช้แล้วนี้ยังคงใช้การได้ ทำให้ผู้โจมตีสามารถยืนยันตัวตนเข้าสู่โครงสร้างพื้นฐานการเชื่อมต่อของ Klue

เมื่อเข้ามาได้แล้ว ผู้โจมตีก็ผลักดันการอัปเดตโค้ดที่เป็นอันตรายเพื่อเก็บเกี่ยว OAuth token สำหรับ Salesforce และการเชื่อมต่อภายนอกอื่นๆ จากสภาพแวดล้อมของลูกค้า Klue ด้วย token เหล่านั้น ผู้โจมตีปลอมตัวเป็นแอป Klue และสอบถามข้อมูลจาก Salesforce CRM ที่เชื่อมต่ออยู่ผ่าน Salesforce REST API โดยส่งคำขอ API เกือบ 1,000 ครั้งต่อ 15 นาที ในช่วงเวลาประมาณ 24 ชั่วโมง กว่า Klue จะแจ้งเตือนลูกค้าในวันที่ 13 มิถุนายน ผู้โจมตีก็ได้ขโมย token ของ Salesforce org ที่เชื่อมต่อแล้วหลายร้อยแห่ง

ข้อมูลที่ถูกขโมยรวมถึง ข้อมูลติดต่อทางธุรกิจ ลูกค้าเป้าหมายการขาย ประวัติเคสสนับสนุนลูกค้า ชื่อ ที่อยู่อีเมล เบอร์โทรศัพท์ และข้อมูลราคา การโจมตีครั้งนี้เป็นการโจมตีซัพพลายเชน Salesforce OAuth ครั้งที่สามในสิบเดือน ต่อจากการโจมตี Drift (Salesloft) และ Gainsight

📋 ใครได้รับผลกระทบ

ผู้โจมตีใช้ OAuth token ที่ขโมยมาเพื่อเข้าถึงข้อมูล Salesforce ของลูกค้าองค์กรของ Klue หลายร้อยราย องค์กรต่อไปนี้ได้รับการยืนยันหรือถูกระบุว่าเป็นเหยื่อ:

องค์กร	สถานะ	แหล่งที่มา
Huntress	ยืนยันโดยโพสต์บล็อกของ Huntress
Recorded Future	ยืนยันโดยทั้งสองบริษัท
Tanium	เปิดเผยผ่าน Infosecurity Magazine
Jamf	เปิดเผยผ่าน Infosecurity Magazine
HackerOne	ถูกระบุโดย TechCrunch และ LinkedIn
Kudelski Security	ถูกระบุในรายงานการละเมิด
Snyk	ถูกระบุในรายงานการละเมิด
Insurity	ถูกระบุในรายงานการละเมิด
Sprout Social	ถูกระบุในรายงานการละเมิด
LastPass	ยืนยันผ่าน TNW; ข้อมูล PII ของลูกค้าและข้อมูลเคสสนับสนุนถูกขโมย

Huntress ตีพิมพ์โพสต์โดยละเอียดเรียกเหตุการณ์นี้ว่า 'result domino effect' ด้านความปลอดภัย พร้อมระบุว่า Icarus ได้นำข้อมูลของ Huntress ไปแสดงบนเว็บไซต์รั่วไหล

🔑 การโจมตีเกิดขึ้นได้อย่างไร

ห่วงโซ่การโจมตีตรงไปตรงมาและใช้ประโยชน์จากจุดบอดด้านความปลอดภัยของ SaaS ที่พบได้ทั่วไป: credential ที่ถูกลืม Klue เคยสร้าง OAuth credential สำหรับระบบเชื่อมต่อต้นแบบที่ไม่เคยถูกนำไปใช้จริง และไม่เคยถูกลบออกจากระบบที่ยังทำงานอยู่ ในวันที่ 11 มิถุนายน กลุ่ม Icarus พบ credential นั้น ยืนยันตัวตนเข้าสู่แบ็คเอนด์ของ Klue และผลักดันโค้ดอันตรายไปยังเลเยอร์การเชื่อมต่อของ Klue โค้ดนั้นเก็บรวบรวม OAuth token ทุกอันที่ Klue ถือไว้สำหรับการเชื่อมต่อของลูกค้า ไม่ว่าจะเป็น Salesforce, HubSpot, Gong, SharePoint, Zoom และอื่นๆ ด้วย token เหล่านั้น ผู้โจมตีจึงสอบถาม Salesforce โดยตรงโดยไม่ต้องใช้ credential อื่นใด

📊 รายละเอียดการขโมยข้อมูล

ผู้โจมตีไม่ได้ขโมยข้อมูลอย่างเงียบๆ บริษัทรักษาความปลอดภัย ReliaQuest สังเกตเห็นกิจกรรมดังกล่าวและรายงานว่าผู้โจมตีส่งคำขอ API เกือบ 1,000 ครั้งในระยะเวลา 15 นาที และคงช่วงเวลาการขโมยข้อมูลที่ยาวนานกว่า 6 ชั่วโมง การขโมยข้อมูลทั้งหมดกินเวลาประมาณ 24 ชั่วโมง ผู้โจมตีใช้ Salesforce REST API endpoints เช่น /services/data/v59.0/query/* โดยใช้สคริปต์ Python อัตโนมัติเพื่อดึงข้อมูลเป็นจำนวนมาก ข้อมูลที่ถูกขโมยจำกัดอยู่ที่ CRM และข้อมูลการขายเท่านั้น ไม่ใช่ระบบภายในหรือ credential ขององค์กรที่ได้รับผลกระทบ

⚡ การตอบสนองของ Klue และ Salesforce

Klue ตรวจพบกิจกรรมที่ไม่ได้รับอนุญาตในวันที่ 12 มิถุนายน และเริ่มแจ้งลูกค้าในวันที่ 13 มิถุนายน บริษัทตัดการเชื่อมต่อและทำงานร่วมกับลูกค้าที่ได้รับผลกระทบเพื่อหมุนเวียน token Klue ยืนยันว่าผู้โจมตีใช้ credential รุ่นเก่าที่ถูกบุกรุกเพื่อให้ได้ OAuth token และเข้าถึงสภาพแวดล้อม Salesforce ของลูกค้า
Salesforce ปิดการใช้งานแอป Klue Battlecards ทุกอินสแตนซ์ของลูกค้าที่ได้รับผลกระทบ เวลา 19:22 น. ตามเวลา BST ในวันที่ 17 มิถุนายน 2026 โดยไม่แจ้งให้ลูกค้าทราบล่วงหน้า ต่อมา Salesforce เรียกร้องให้ลูกค้า Klue ที่เชื่อมต่อทั้งหมดหมุนเวียน OAuth token และตรวจสอบบันทึกการตรวจสอบ API สำหรับคำถามที่ไม่ได้รับอนุญาต

🕵️‍💻 กลุ่มรีดไถ Icarus และนามแฝง 'mr bean'

กลุ่มอาชญากรที่เพิ่งถูกติดตามใหม่ชื่อ Icarus ออกมาอ้างความรับผิดชอบ กลุ่มนี้เริ่มเคลื่อนไหวตั้งแต่ประมาณเดือนเมษายน 2026 และเริ่มแสดงรายชื่อเหยื่อบนเว็บไซต์รั่วไหลในปลายเดือนมิถุนายน Icarus ติดต่อเหยื่อทางอีเมลโดยใช้นามแฝง 'mr bean' (ตัวพิมพ์เล็ก) เรียกร้องการจ่ายเงินเพื่อแลกกับการไม่เผยแพร่ข้อมูล Salesforce ที่ถูกขโมย ในวันที่ 22 มิถุนายน Icarus เริ่มโพสต์ข้อมูลที่ถูกขโมยจาก Huntress และเหยื่อรายอื่นๆ บนเว็บไซต์รั่วไหลโดยเฉพาะ

กลุ่มนี้เป็นกลุ่มแรกที่รู้จักในการใช้ช่องทาง Klue-OAuth-to-Salesforce นี้ ซึ่งเป็นการเปลี่ยนแปลงจากการโจมตีที่นำโดย ShinyHunters ในการเชื่อมต่อ Salesforce บุคคลที่สามที่คล้ายกัน Huntress ยืนยันว่าข้อมูลที่ Icarus โพสต์นั้นสอดคล้องกับขอบเขตของข้อมูลที่รายงานไว้ก่อนหน้านี้ และไฟล์ของ Huntress นั้นมีขอบเขตจำกัด

🔍 ทำไมเรื่องนี้ถึงสำคัญ

การละเมิดครั้งนี้ไม่ใช่เหตุการณ์ที่เกิดขึ้นเดี่ยวๆ นี่เป็นการโจมตีซัพพลายเชน Salesforce OAuth ครั้งใหญ่ครั้งที่สามในเวลาไม่ถึงปี ต่อจากการโจมตี Drift (Salesloft) และ Gainsight รูปแบบซ้ำเดิมคือ ผู้โจมตีกำหนดเป้าหมายไปที่ศูนย์กลางการเชื่อมต่อ ขโมย OAuth token และใช้มันเพื่อเข้าถึงสภาพแวดล้อม CRM โดยไม่ก่อให้เกิดการแจ้งเตือน เนื่องจากการสอบถามมาจากแอปพลิเคชันบุคคลที่สามที่เชื่อถือได้ การละเมิด Klue ยังเน้นย้ำถึงอันตรายของ credential ที่ถูกทิ้งร้างในสภาพแวดล้อม SaaS ซึ่ง credential ที่สร้างขึ้นสำหรับต้นแบบและไม่เคยถูกลบทิ้งกลายเป็นจุดเสียหายจุดเดียวสำหรับ Salesforce org ขององค์กรหลายร้อยแห่ง

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

ค้นหาและตรวจสอบข้อเท็จจริงด้วย Studio Global AI

คนยังถาม

คำตอบสั้น ๆ สำหรับ "การโจมตีซัพพลายเชน Klue มิถุนายน 2026: จุดอ่อนจาก Credential ที่ถูกลืม เปิดทางขโมยข้อมูล Salesforce หลายสิบองค์กร" คืออะไร

ประเด็นสำคัญที่ต้องตรวจสอบก่อนคืออะไร?

ฉันควรทำอย่างไรต่อไปในทางปฏิบัติ?

Klue ตรวจพบกิจกรรมต้องสงสัยในวันที่ 12 มิถุนายน และแจ้งลูกค้าในวันที่ 13 มิถุนายน ส่วน Salesforce ปิดการเชื่อมต่อแอป Klue Battlecards ทั้งหมดในวันที่ 17 มิถุนายน

แหล่งที่มา

Comments

0 comments

Loading comments...

← Back to Trending