Discover

答案已发布4天前Last edited 4天前36 来源

Klue供应链攻击：遗忘了，却未失效——一个原型凭证如何引爆Salesforce数据泄露事件

2026年6月11日，攻击者利用Klue平台一个被遗忘的原型集成凭证入侵其后端系统，植入恶意代码批量窃取客户OAuth令牌，并通过Salesforce REST API窃取CRM数据超过10家知名企业确认受影响，包括Huntress、Recorded Future、Tanium、Jamf、LastPass等网络安全公司失窃数据包括商业联系人信息、销售线索、客户支持案例、定价信息等，但不包含密码或支付数据

使用 Studio Global AI 搜索并核查事实浏览更多热门页面

46K0

Search & fact-check with cited sources for What happened in the June 2026 supply chain attack on Klue, including how attackers used a stolenIllustration of the Klue supply chain attack chain: a forgotten credential, a compromised integration, and exfiltrated Salesforce CRM data.

AI 提示

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What happened in the June 2026 supply chain attack on Klue, including how attackers used a stolen. Article summary: Here is a comprehensive, source-cited account of the June 2026 Klue supply chain attack.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual eviden

openai.com

2026年6月11日，攻击者入侵了位于温哥华的市场情报平台Klue。Klue为数百家企业提供智能服务，能将竞争性"战卡"同步到Salesforce CRM中。令人惊讶的是，入侵的入口并非什么复杂的零日漏洞，而是一个Klue曾创建、从未部署、也从未注销的原型集成凭证。这个陈旧的OAuth凭证居然还能用，攻击者利用它成功通过了Klue集成基础设施的身份验证。

一旦进入系统内部，攻击者就推送了恶意代码更新，从Klue的客户环境中窃取了Salesforce及其他第三方集成的OAuth令牌。有了这些令牌，攻击者就可以冒充Klue应用，通过Salesforce REST API直接查询连接的Salesforce CRM环境。攻击行为持续了大约24小时，期间集中爆发了大量API调用，每15分钟内可达近1000次。等到Klue在6月13日通知客户时，攻击者已经盗取了数百个已连接的Salesforce组织的令牌。失窃数据包括商业联系人信息、销售线索、客户支持案例历史记录、姓名、电子邮件地址、电话号码和定价信息。

这已是十个月内第三起Salesforce OAuth供应链攻击，之前分别是针对Drift (Salesloft) 和 Gainsight 的攻击。

📋 哪些企业受影响

以下组织已公开确认或被确认为受害者：

组织	状态	来源
Huntress	Huntress官方博客确认
Recorded Future	双方公司确认
Tanium	由Infosecurity Magazine披露
Jamf	由Infosecurity Magazine披露
HackerOne	由TechCrunch和LinkedIn报道
Kudelski Security	出现在漏洞报告列表中
Snyk	出现在漏洞报告列表中
Insurity	出现在漏洞报告列表中
Sprout Social	出现在漏洞报告列表中
LastPass	TNW确认；客户PII和支持案例数据被盗

Huntress发布了一篇详细的博文，将此事件称为"安全多米诺效应"，并指出Icarus后来在其泄密网站上列出了Huntress的数据。

🔑 攻击是如何发生的？

这次攻击的链条非常直接，且利用了SaaS安全中一个常见的盲点：被遗忘的凭证。Klue曾为一个从未部署的原型集成创建了一个OAuth凭证，但从未在生产系统中将其移除。6月11日，名为Icarus的攻击组织发现了这个凭证，用它通过了Klue后端的身份验证，然后向Klue的集成层推送了恶意代码。该代码收集了Klue持有的所有客户集成的OAuth令牌——包括Salesforce、HubSpot、Gong、SharePoint、Zoom等。有了这些令牌，攻击者无需其他任何凭证，就能直接查询Salesforce环境。

📊 数据窃取细节

攻击者的数据窃取行动并非悄无声息。安全公司ReliaQuest检测到了该活动并报告称，攻击者在短短15分钟内发起了近1000次API查询，并且保持了超过6小时的持续提取窗口。整个数据窃取过程持续了大约24小时。攻击者通过Salesforce REST API端点/services/data/v59.0/query/*，使用自动化的Python脚本批量提取记录。失窃数据仅限于CRM和销售信息，不包括受影响组织的内部系统或凭证。

⚡ Klue和Salesforce如何应对？

Klue：在6月12日检测到未经授权的活动，并于6月13日开始通知客户。公司切断了集成，并与受影响的客户一起更新令牌。Klue确认攻击者利用了一个被入侵的旧凭证来获取OAuth令牌，从而访问客户Salesforce环境。
Salesforce：于2026年6月17日BST时间晚上7:22，在所有受影响的客户实例中禁用了Klue Battlecards应用，且未事先通知客户。Salesforce随后敦促所有已连接的Klue客户轮换OAuth令牌，并审查API审计日志中是否存在未经授权的查询。

🕵️‍💻 Icarus勒索组织与"mr bean"化名

一个名为Icarus的新兴犯罪组织声称对此事负责。该组织自2026年4月起活跃，并于6月下旬开始在其泄密网站上列出受害者名单。Icarus通过邮箱使用化名**"mr bean"**（小写）联系受害者，要求他们支付赎金，以免被盗的Salesforce数据被公开。6月22日，Icarus开始在其专门的数据泄露网站上公布从Huntress及其他受害者处窃取的数据。这是已知首个利用Klue-OAuth-to-Salesforce这种特定链路的组织，标志着此前由ShinyHunters主导的针对类似第三方Salesforce集成的攻击模式已有所转变。Huntress证实，Icarus公布的数据与之前报告的范围一致，且与Huntress相关的文件内容有限。

🔍 为什么这件事值得关注？

这次泄露并非孤立事件。它是一年内第三起重大的Salesforce OAuth供应链攻击，此前还有针对Drift (Salesloft) 和 Gainsight 的攻击。攻击模式是相同的：攻击者瞄准集成中心，窃取OAuth令牌，然后利用这些令牌访问CRM环境，而由于查询来自受信任的第三方应用，通常不会触发警报。Klue事件也凸显了SaaS环境中孤立凭证的危险性——一个为原型创建且从未注销的凭证，竟然成为了数百个企业Salesforce组织的单一故障点。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

使用 Studio Global AI 搜索并核查事实

人们还问