Klue Sızıntısı: Unutulan Bir Şifre, Düzinelerce Şirketin Salesforce CRM Verilerini Çaldırdı

Saldırının Perde Arkası: Unutulan Bir Anahtar, Açık Bir Kapı

11 Haziran 2026'da, Vancouver merkezli pazar istihbarat platformu Klue'ye yönelik bir siber saldırı düzenlendi. Klue, yüzlerce kurumsal şirketin rekabetçi "savaş kartlarını" (battlecards) Salesforce CRM sistemlerine entegre etmek için kullandığı bir platform . Saldırının başlangıç noktası, karmaşık bir sıfır-gün açığı değil, son derece basit ve yaygın bir güvenlik zaafıydı: unutulmuş bir kimlik bilgisi. Klue, daha önce hiç kullanıma almadığı ve devre dışı bırakmayı unuttuğu bir entegrasyon prototipi için bir OAuth kimlik bilgisi oluşturmuştu. Saldırganlar, bu atıl ve hala çalışan kimlik bilgisini bularak Klue'nun entegrasyon altyapısına giriş yaptı .

İçeri girdikten sonra, saldırganlar Klue'nun müşteri ortamlarındaki Salesforce ve diğer üçüncü tarf entegrasyonlarına ait OAuth token'larını toplayan kötücül bir kod güncellemesi yaydı . Ele geçirilen bu token'larla saldırganlar, Klue uygulamasının kimliğine bürünerek bağlı Salesforce CRM ortamlarını sorgulamaya başladı. Güvenlik firması ReliaQuest'in raporuna göre, saldırganlar yoğun bir veri sızdırma operasyonu yürüttü. Yaklaşık 24 saat süren bu operasyonda, 15 dakikalık periyotlarla neredeyse 1.000 API çağrısı yapıldı ve veriler Salesforce REST API üzerinden dışarı aktarıldı .

Bu saldırı, son 10 ayda Salesforce OAuth tedarik zinciri üzerinden yapılan üçüncü büyük saldırı oldu. Daha önce Drift (Salesloft) ve Gainsight platformları da benzer yöntemlerle hedef alınmıştı .

📋 Kimler Etkilendi?

Saldırganlar, çaldıkları OAuth token'larını kullanarak Klue'nun yüzlerce kurumsal müşterisine ait Salesforce verilerine erişti . Etkilendiğini doğrulayan şirketler şunlardır:

Şirket	Durum	Kaynak
Huntress	Huntress blog yazısıyla doğrulandı
Recorded Future	Her iki şirket tarafından da doğrulandı
Tanium	Infosecurity Magazine aracılığıyla duyuruldu
Jamf	Infosecurity Magazine aracılığıyla duyuruldu
HackerOne	TechCrunch ve LinkedIn tarafından belirtildi
Kudelski Security	İhlal raporlarında adı geçti
Snyk	İhlal raporlarında adı geçti
Insurity	İhlal raporlarında adı geçti
Sprout Social	İhlal raporlarında adı geçti
LastPass	TNW tarafından doğrulandı; müşteri PII ve destek talebi verileri çalındı

Huntress, olayı bir "güvenlik domino etkisi" olarak nitelendirirken, Icarus grubunun daha sonra Huntress verilerini sızıntı sitesinde yayınladığını belirtti .

🔑 Saldırı Nasıl Gerçekleşti?

Saldırı zinciri oldukça doğrudandı ve SaaS güvenliğindeki yaygın bir kör noktadan yararlanıldı: unutulan kimlik bilgileri. Klue, hiç kullanıma almadığı ve sistemlerinden kaldırmayı unuttuğu bir entegrasyon prototipi için bir OAuth kimlik bilgisi oluşturmuştu . 11 Haziran'da Icarus grubu bu kimlik bilgisini bularak Klue'nun arka ucuna erişti ve entegrasyon katmanına zararlı kod yükledi. Bu kod, Klue'nun müşteri entegrasyonları için tuttuğu tüm OAuth token'larını (Salesforce, HubSpot, Gong, SharePoint, Zoom ve daha fazlası) topladı . Bu token'larla saldırganlar, başka bir kimlik bilgisine ihtiyaç duymadan doğrudan Salesforce ortamlarını sorgulayabildi.

📊 Veri Sızıntısının Detayları

Güvenlik firması ReliaQuest'in gözlemlerine göre saldırgan, 15 dakikalık bir sürede yaklaşık 1.000 API sorgusu gerçekleştirdi ve 6 saatten uzun süren kesintisiz veri çıkarma operasyonları yürüttü . Toplam sızıntı yaklaşık 24 saat sürdü . Saldırganlar, Salesforce REST API'nin /services/data/v59.0/query/* gibi uç noktalarını kullanarak otomatik Python betikleriyle toplu kayıt çekimi yaptı . Çalınan veriler yalnızca CRM ve satış bilgilerini kapsıyordu; etkilenen kuruluşların iç sistemleri veya kullanıcı şifreleri tehlikeye girmedi .

⚡ Klue ve Salesforce'un Müdahalesi

• Klue, 12 Haziran'da yetkisiz aktiviteyi tespit etti ve 13 Haziran'da müşterilerini bilgilendirmeye başladı. Şirket, entegrasyonları kesti ve etkilenen müşterilerle token'larını yenilemek için çalıştı . Klue, saldırganların bir süresi dolmuş eski kimlik bilgisini kullanarak OAuth token'larına eriştiğini ve müşteri Salesforce ortamlarına sızdığını doğruladı .
• Salesforce, 17 Haziran 2026'da BST ile 19:22'de, müşterilere önceden haber vermeden Klue Battlecards uygulamasının bağlantısını tüm etkilenen müşteri örneklerinde kesti . Salesforce daha sonra bağlı tüm Klue müşterilerine OAuth token'larını yenilemelerini ve yetkisiz sorgulamalar için API denetim günlüklerini incelemelerini tavsiye etti .

🕵️‍💻 Icarus Fidye Grubu ve "mr bean" Takma Adı

Icarus adlı yeni takip edilen bir suç grubu saldırıyı üstlendi. Grubun yaklaşık Nisan 2026'dan beri aktif olduğu ve Haziran sonunda sızıntı sitesinde kurbanları listelemeye başladığı belirtiliyor . Icarus, kurbanlarına "mr bean" (küçük harflerle) takma adını kullanarak e-posta gönderdi ve çalınan Salesforce verilerini yayınlamamak karşılığında ödeme talep etti . Icarus, 22 Haziran'da Huntress ve diğer kurbanlara ait çalıntı verileri özel sızıntı sitesinde yayınlamaya başladı . Bu grup, benzer üçüncü tarf Salesforce entegrasyonlarına yönelik daha önceki ShinyHunters liderliğindeki saldırılardan farklı olarak, bu spesifik Klue-OAuth-Salesforce kanalını kullanan ilk grup olarak kayıtlara geçti . Huntress, Icarus'un yayınladığı verilerin daha önce raporlanan bilgilerle uyumlu olduğunu ve Huntress dosyalarının sınırlı kapsamda olduğunu doğruladı .

🔍 Bu Neden Önemli?

Bu ihlal izole bir vaka değil. Son bir yılda Drift (Salesloft) ve Gainsight saldırılarının ardından Salesforce OAuth tedarik zinciri üzerinden yapılan üçüncü büyük saldırıdır . Saldırı modeli her seferinde aynı: saldırganlar entegrasyon merkezini hedef alıyor, OAuth token'larını çalıyor ve bu token'larla güvenilir bir üçüncü tarf uygulamasından geldikleri için alarm vermeden CRM ortamlarına erişiyorlar. Klue ihlali ayrıca SaaS ortamlarındaki terk edilmiş kimlik bilgilerinin (orphaned credentials) tehlikesini de bir kez daha gözler önüne seriyor. Bir prototip için oluşturulup devre dışı bırakılmayan bir kimlik bilgisi, yüzlerce kurumsal Salesforce hesabı için tek bir hata noktası haline geldi .