Атака на ланцюг постачання Klue: як забутий логін і пароль призвів до витоку даних Salesforce

Отримавши доступ, атакуючі встановили шкідливе оновлення коду, яке збирало токени OAuth для Salesforce та інших сторонніх інтеграцій із середовищ клієнтів Klue . До моменту, коли Klue попередила клієнтів 13 червня, зловмисники вже викрали токени для сотень підключених організацій Salesforce .

📊 Викрадення даних

Використовуючи викрадені токени OAuth, зловмисники імітували додаток Klue та надсилали запити до підключених середовищ Salesforce через Salesforce REST API . Масова ексфільтрація даних тривала приблизно 24 години .

• Обсяг запитів: Зловмисники надсилали майже 1000 API-запитів кожні 15 хвилин до кінцевих точок Salesforce .
• Викрадені дані: До викраденої інформації увійшли контакти, комерційні пропозиції, історія звернень до підтримки та інші CRM-записи, такі як імена, адреси електронної пошти, номери телефонів та історія звернень до підтримки .
• Це третій випадок злому ланцюга постачання OAuth Salesforce за десять місяців після атак на Drift (Salesloft) та Gainsight .

📋 Хто постраждав

Зловмисники використали викрадені токени для доступу до даних Salesforce сотень корпоративних клієнтів Klue . Ось список організацій, які публічно підтвердили або були названі як жертви:

Huntress опублікувала детальний звіт, назвавши інцидент "ефектом доміно в безпеці" та зазначивши, що Icarus пізніше оприлюднила дані Huntress на своєму сайті витоку .

⚡ Реакція Klue та Salesforce

• Klue виявила несанкціоновану активність 12 червня та почала повідомляти клієнтів 13 червня. Компанія припинила інтеграції та працювала з постраждалими клієнтами над ротацією токенів . Klue підтвердила, що зловмисники використали скомпрометований застарілий обліковий запис для отримання токенів OAuth та доступу до середовищ Salesforce клієнтів .
• Salesforce вимкнула додаток Klue Battlecards у всіх постраждалих екземплярах клієнтів о 19:22 за Британським часом 17 червня 2026 року без попередження клієнтів . Пізніше Salesforce закликала всіх підключених клієнтів Klue ротувати токени OAuth та перевірити журнали аудиту API на предмет несанкціонованих запитів .

🕵️‍💻 Група вимагання Icarus та псевдонім "mr bean"

Нещодавно відстежена злочинна група, яка називає себе Icarus, взяла на себе відповідальність. Група активна приблизно з квітня 2026 року та почала оприлюднювати жертв на своєму сайті витоку наприкінці червня .

• Спосіб зв'язку: Icarus зв'язувалася з жертвами електронною поштою, використовуючи псевдонім "mr bean" (маленькими літерами), вимагаючи плату в обмін на нерозголошення викрадених даних Salesforce .
• Сайт витоку: 22 червня Icarus почала публікувати викрадені дані Huntress та інших жертв на своєму спеціалізованому веб-сайті .
• Метод роботи: Icarus є першою відомою групою, яка використала цей конкретний конвеєр Klue-OAuth-to-Salesforce, що знаменує зміну від попередніх атак ShinyHunters на подібні сторонні інтеграції Salesforce .

Huntress підтвердила, що дані, оприлюднені Icarus, відповідають обсягу раніше повідомленої інформації, а файли Huntress мали обмежений характер .

🔍 Чому це важливо

Цей витік не є ізольованим інцидентом. Це третій великий випадок злому ланцюга постачання OAuth Salesforce менш ніж за рік після атак на Drift (Salesloft) та Gainsight . Схема повторюється: зловмисники атакують центр інтеграції, крадуть токени OAuth і використовують їх для доступу до середовищ CRM, не викликаючи тривоги, оскільки запити надходять із довіреного стороннього додатка. Витік Klue також підкреслює небезпеку "сирітських" облікових даних у середовищах SaaS — обліковий запис, створений для прототипу та ніколи не видалений, став єдиною точкою відмови для сотень корпоративних організацій Salesforce .