Vụ tấn công chuỗi cung ứng Klue tháng 6/2026: Một thông tin đăng nhập bị lãng quên đã lộ dữ liệu Salesforce của hàng loạt doanh nghiệp như thế nào

📋 Ai đã bị ảnh hưởng?

Tin tặc đã sử dụng token OAuth bị đánh cắp để truy cập dữ liệu Salesforce thuộc về hàng trăm khách hàng doanh nghiệp của Klue . Các tổ chức sau đây đã xác nhận hoặc được nêu tên là nạn nhân:

Huntress đã công bố một bài viết chi tiết gọi sự cố này là "hiệu ứng domino an ninh", lưu ý rằng Icarus sau đó đã đăng dữ liệu của Huntress lên trang web rò rỉ của chúng .

🔑 Quá trình tấn công đã diễn ra như thế nào?

Chuỗi tấn công diễn ra trực tiếp và khai thác một điểm mù bảo mật SaaS phổ biến: thông tin đăng nhập bị lãng quên. Klue đã tạo một thông tin đăng nhập OAuth cho một nguyên mẫu tích hợp chưa bao giờ được triển khai và chưa bao giờ bị xóa khỏi các hệ thống đang hoạt động . Vào ngày 11 tháng 6, nhóm Icarus đã tìm thấy thông tin đăng nhập đó, xác thực vào hệ thống backend của Klue và đẩy mã độc vào lớp tích hợp của Klue. Mã đó đã thu thập mọi token OAuth mà Klue nắm giữ cho các tích hợp của khách hàng—Salesforce, HubSpot, Gong, SharePoint, Zoom, v.v. . Với những token đó, tin tặc đã trực tiếp truy vấn các môi trường Salesforce mà không cần bất kỳ thông tin đăng nhập nào khác.

📊 Chi tiết về quá trình trích xuất dữ liệu

Tin tặc không lặng lẽ rút dữ liệu. Công ty bảo mật ReliaQuest đã quan sát hoạt động và báo cáo rằng tin tặc đã thực hiện gần 1.000 truy vấn API trong một đợt 15 phút duy nhất và duy trì các cửa sổ trích xuất kéo dài hơn sáu giờ . Tổng thời gian trích xuất kéo dài khoảng 24 giờ . Tin tặc đã truy vấn các điểm cuối Salesforce REST API như /services/data/v59.0/query/*, sử dụng các tập lệnh Python tự động để trích xuất hàng loạt bản ghi . Dữ liệu bị đánh cắp chỉ giới hạn ở thông tin CRM và bán hàng, không phải hệ thống nội bộ hoặc thông tin đăng nhập của các tổ chức bị ảnh hưởng .

⚡ Cách Klue và Salesforce phản ứng

• Klue đã phát hiện hoạt động trái phép vào ngày 12 tháng 6 và bắt đầu thông báo cho khách hàng vào ngày 13 tháng 6. Công ty đã cắt các tích hợp và làm việc với các khách hàng bị ảnh hưởng để thay đổi token . Klue xác nhận rằng tin tặc đã sử dụng một thông tin đăng nhập cũ bị xâm phạm để lấy token OAuth và truy cập vào môi trường Salesforce của khách hàng .
• Salesforce đã vô hiệu hóa ứng dụng Klue Battlecards trên tất cả các phiên bản khách hàng bị ảnh hưởng lúc 7:22 tối giờ BST ngày 17 tháng 6 năm 2026, mà không cảnh báo trước cho khách hàng . Salesforce sau đó đã yêu cầu tất cả khách hàng Klue đã kết nối thay đổi token OAuth và xem xét nhật ký kiểm tra API để tìm các truy vấn trái phép .

🕵️‍💻 Nhóm tống tiền Icarus và biệt danh "mr bean"

Một nhóm tội phạm mới được theo dõi có tên Icarus đã nhận trách nhiệm. Nhóm này hoạt động tích cực từ khoảng tháng 4 năm 2026 và bắt đầu liệt kê các nạn nhân trên trang web rò rỉ của mình vào cuối tháng 6 . Icarus đã liên hệ với các nạn nhân qua email sử dụng biệt danh "mr bean" (viết thường), yêu cầu thanh toán để đổi lại việc không công bố dữ liệu Salesforce bị đánh cắp . Vào ngày 22 tháng 6, Icarus bắt đầu đăng dữ liệu bị đánh cắp từ Huntress và các nạn nhân khác lên trang web rò rỉ dữ liệu chuyên dụng của chúng . Đây là nhóm đầu tiên được biết đến đã sử dụng đường ống Klue-OAuth-to-Salesforce cụ thể này, đánh dấu sự thay đổi so với các cuộc tấn công do ShinyHunters dẫn đầu trước đây nhắm vào các tích hợp Salesforce của bên thứ ba tương tự . Huntress xác nhận rằng dữ liệu mà Icarus đăng phù hợp với phạm vi của những gì đã được báo cáo và các tệp tin dành cho Huntress có phạm vi hạn chế .

🔍 Tại sao điều này lại quan trọng?

Vụ vi phạm này không phải là một sự cố cá biệt. Đây là vụ tấn công chuỗi cung ứng OAuth Salesforce lớn thứ ba trong vòng chưa đầy một năm, sau các cuộc tấn công vào Drift (Salesloft) và Gainsight . Mô hình này nhất quán: tin tặc nhắm mục tiêu vào trung tâm tích hợp, đánh cắp token OAuth và sử dụng chúng để truy cập vào các môi trường CRM mà không gây ra cảnh báo vì các truy vấn đến từ một ứng dụng bên thứ ba đáng tin cậy. Vụ vi phạm Klue cũng nhấn mạnh mối nguy hiểm của các thông tin đăng nhập bị bỏ rơi trong môi trường SaaS—một thông tin đăng nhập được tạo cho một nguyên mẫu và chưa bao giờ bị hủy kích hoạt đã trở thành điểm lỗi duy nhất cho hàng trăm tổ chức Salesforce doanh nghiệp .