Klue供應鏈攻擊全解析：一個遭棄用的整合原型憑證，如何讓駭客竊取數百家企業的Salesforce資料

2026年6月11日，一場嚴重的供應鏈攻擊鎖定了總部位於加拿大溫哥華的市場情報平台 Klue。該平台主要協助數百間企業將競爭分析數據（battlecards）同步至其 Salesforce CRM 系統中。攻擊者的入侵方式並非利用複雜的零時差漏洞，而是一個被徹底遺忘的整合原型憑證——Klue 曾為一個從未實際部署的整合專案建立此憑證，事後也從未將其廢止或移除 。這個過時的 OAuth 憑證仍然有效，讓攻擊者得以成功驗證並進入 Klue 的整合基礎設施 。

一旦得手，攻擊者立即推送惡意程式碼更新，從 Klue 的客戶環境中大規模竊取用於 Salesforce 及其他第三方整合的 OAuth 權杖 。隨後，他們偽裝成 Klue 應用程式，利用這些權杖直接透過 Salesforce REST API 查詢已連結的客戶 CRM 環境，在約 24 小時內，以每 15 分鐘近 1,000 次的頻率發起集中的 API 呼叫 。當 Klue 在 6 月 13 日向客戶發出警報時，攻擊者早已成功竊取數百個已串接 Salesforce 組織的權杖 。被竊取的資料包含商業聯絡人資訊、銷售機會、客戶支援案例歷史、姓名、電子郵件地址、電話號碼以及產品定價資訊 。

此事件是 10 個月內第三起重大 Salesforce OAuth 供應鏈攻擊，在此之前，Drift（Salesloft）和 Gainsight 也曾遭遇類似攻擊 。

📋 哪些企業受到影響？

攻擊者利用竊得的 OAuth 權杖，存取屬於 Klue 數百家企業客戶的 Salesforce 資料 。以下為已公開確認或遭點名的受害組織：

組織	狀態	資料來源
Huntress	由 Huntress 官方部落格文章確認
Recorded Future	由雙方公司確認
Tanium	經 Infosecurity Magazine 揭露
Jamf	經 Infosecurity Magazine 揭露
HackerOne	經 TechCrunch 和 LinkedIn 報導
Kudelski Security	在相關資安報導中被點名
Snyk	在相關資安報導中被點名
Insurity	在相關資安報導中被點名
Sprout Social	在相關資安報導中被點名
LastPass	經 TNW 確認；客戶個資與支援案例資料遭竊

資安公司 Huntress 發表了一篇詳細的文章，將此事件形容為「安全骨牌效應」，並指出 Icarus 集團後續已在其洩密網站上公布 Huntress 的資料 。

🔑 攻擊是如何一步步發生的？

整個攻擊鏈條清晰且直接，精準利用了 SaaS 安全領域的常見盲點：被遺忘的憑證。Klue 曾為一個原型整合建立了一組 OAuth 憑證，但該整合從未被部署到正式環境，也從未被從活躍系統中清除 。

• 6 月 11 日：名為 Icarus 的攻擊者找到了這組還有效的憑證，成功驗證並進入了 Klue 的後端系統 。
• 植入惡意程式碼：攻擊者向 Klue 的整合層推送了惡意程式碼更新。這段程式碼的作用是收集 Klue 為所有客戶儲存的 OAuth 權杖，範圍涵蓋 Salesforce、HubSpot、Gong、SharePoint、Zoom 等 。
• 直接入侵 Salesforce：取得權杖後，攻擊者不再需要任何其他憑證，便能直接以 Klue 應用的身分，大規模查詢客戶的 Salesforce 環境。

📊 資料外洩的具體細節

攻擊者並非安靜緩慢地竊取資料。根據資安公司 ReliaQuest 的觀測報告，攻擊者的活動極具侵略性 ：

• 極高查詢頻率：曾創下 15 分鐘內觸發近 1,000 次 API 查詢 的紀錄。
• 長時間持續性：資料提取作業持續了超過 6 小時。
• 總計時間：整個大規模外洩活動持續了約 24 小時 。
• 技術手法：攻擊者利用自動化 Python 指令碼，透過 Salesforce REST API 的 /services/data/v59.0/query/* 等端點進行批量資料提取 。
• 被竊資料範圍：主要限於 CRM 和銷售相關資訊，未涉及受影響組織的內部系統或登入憑證 。

⚡ Klue 與 Salesforce 的應對措施

• Klue：於 6 月 12 日 偵測到未經授權的活動，6 月 13 日 開始通知客戶。該公司立即切斷受影響的整合，並與客戶合作輪換所有權杖 。Klue 隨後公開確認，攻擊者確實是利用一個遭入侵的舊版憑證來取得 OAuth 權杖，進而存取客戶的 Salesforce 環境 。
• Salesforce：為了防止損害擴大，Salesforce 於 6 月 17 日下午 7 點 22 分（BST） 在所有受影響的客戶實例中強制停用了 Klue Battlecards 應用程式，未事先通知客戶 。Salesforce 隨後敦促所有曾連結 Klue 的客戶立即輪換 OAuth 權杖，並審查 API 審計日誌以找出未經授權的查詢記錄 。

🕵️‍💻 Icarus 勒索集團與「mr bean」身份

一個新近被資安界追蹤的犯罪集團 Icarus 公開承認犯下此案。該集團約自 2026 年 4 月 開始活躍，並在 6 月下旬開始在其專屬的洩密網站上公布受害者名單 。

• 聯絡方式：Icarus 集團使用別名 「mr bean」（全小寫）透過電子郵件聯繫受害者，要求支付贖金以換取不公開被竊的 Salesforce 資料 。
• 資料公布：2026 年 6 月 22 日，Icarus 開始在資料外洩網站上張貼從 Huntress 及其他受害者處竊得的資料 。
• 手法特點：該集團是已知首個使用「Klue-OAuth-to-Salesforce」這條攻擊管道的組織，標誌著此類攻擊手法的主導者已從先前的 ShinyHunters 集團轉移 。
• 資料驗證：Huntress 已確認 Icarus 公布的資料與其早前通報的資料範圍相符，且被公布的文件內容有限 。

🔍 為什麼此事非同小可？

此次 Klue 資料外洩絕非單一事件。它是 10 個月內第三起重大的 Salesforce OAuth 供應鏈攻擊，在它之前，Drift（Salesloft）和 Gainsight 均曾遭受類似攻擊 。這些攻擊的模式驚人地一致：攻擊者總是將目標鎖定在「整合中樞」，竊取其持有的 OAuth 權杖，然後利用這些權杖，以受信任第三方應用程式的身份存取 CRM 環境，從而在不觸發警報的情況下進行資料竊取。

Klue 事件更凸顯了 SaaS 環境中被遺棄憑證的巨大危險——一個為原型建立的測試用憑證，因為從未被確實撤銷，最終成了導致數百家企業 Salesforce 組織資料外洩的關鍵破口 。