Salesforce heeft onthuld dat het de integratie van de Klue Battlecards-app binnen zijn platform heeft uitgeschakeld als reactie op een beveiligingsincident dat gevolgen had voor het concurrentie-informatiebedrijf op 11 juni 2026.
Organisaties kunnen daartoe tot nader order geen verbinding maken met Salesforce via de app, schrijft het Amerikaanse cloudgebaseerde softwarebedrijf in een deze week gepubliceerde alert.
“Salesforce heeft deze actie ondernomen omdat onze beveiligingsteams onlangs ongebruikelijke activiteiten met betrekking tot de app hebben gedetecteerd die mogelijk hebben geresulteerd in ongeautoriseerde toegang tot een subset van klantgegevens via de verbinding van de app met Salesforce”, aldus het rapport. “Dit probleem beperkt zich tot de app-verbinding van Klue en komt niet voort uit een kwetsbaarheid binnen het Salesforce-platform.”
De ontwikkeling komt doordat een afpersingsgroep genaamd Icarus gegevens van klanten van Klue, waaronder cyberbeveiligingsbedrijf Huntress, heeft gecompromitteerd en geëxfiltreerd.
“De gegevens die uit ons Salesforce-account zijn gekopieerd, omvatten zakelijke contacten, prijsopgaven en andere verkoopgerelateerde gegevens en berichten”, aldus Huntress. “Er zijn geen bedreigingsgegevens, wachtwoorden, betaalkaartinformatie of technische gegevens met betrekking tot de Huntress-agent of telemetrie die we verzamelen beïnvloed.”
In zijn eigen update zei Klue dat het op 12 juni 2026 ongeoorloofde activiteiten had gedetecteerd die een deel van de integratie-infrastructuur van Klue aantasten, en voegde eraan toe dat de aanvallers toegang kregen via een gecompromitteerde oude inloggegevens die verband hielden met een integratieservice.
“De aanvaller gebruikte die toegang om OAuth-tokens te verkrijgen die werden gebruikt om Klue te verbinden met bepaalde platforms van derden, waaronder Salesforce, en kreeg vervolgens toegang tot gegevens binnen een aantal verbonden klantomgevingen”, aldus Jason Smith, CEO van Klue. “Op basis van ons onderzoek tot nu toe bleef het incident beperkt tot de getroffen platforms van derden, en er is geen bewijs dat de klantinhoud die op het Klue-platform is opgeslagen, werd beïnvloed.”
Concreet zou de inbraak de bedreigingsacteur in staat hebben gesteld een code-update te pushen die OAuth-tokens kon verzamelen die zijn klanten gebruiken om Klue met hun eigen systemen te verbinden. Als reactie op de inbreuk heeft Klue stappen ondernomen om de getroffen inloggegevens en tokens in te trekken, ongeautoriseerde code te verwijderen, toegang op afstand te stoppen, mogelijk getroffen integraties uit te schakelen en een uitgebreid onderzoek te starten.
Vanaf 16 juni 2026 hebben enkele medewerkers van Huntress een e-mail ontvangen met als onderwerpregel ’topgeheime e-mail’ en een waarschuwing waarin staat: ‘Uw Salesforce-gegevens zijn gedownload… U heeft 48 uur de tijd om met ons te communiceren. Neem de juiste beslissing.’
“De dreigingsactor lijkt gebruik te hebben gemaakt van een al lang niet meer gebruikte maar nog steeds actieve referentie om het initiële compromis uit te voeren – een die oorspronkelijk door Klue was gecreëerd om een prototype te maken van een integratie met derden die ze later hebben opgegeven”, aldus het bedrijf. “De bedreigingsacteur heeft vervolgens de infrastructuur van Klue betreden om de tokens te stelen die door de klanten van Klue worden gebruikt, en vervolgens die gestolen inloggegevens gebruikt om de CRM-tools van die klanten rechtstreeks te doorzoeken en uiteindelijk de gegevens te exfiltreren.”
Er is niet veel bekend over de Icarus-acteur, behalve het feit dat ze sinds 28 april 2026 actief zijn en tot nu toe in totaal twee slachtoffers hebben gemaakt. Dat gezegd hebbende, weerspiegelt de datadiefstalcampagne eerdere aanvalsgolven van ShinyHunters en UNC6395.
ReliaQuest zei in zijn eigen analyse van het misbruik van de Klue-integratie dat de activiteit overeenkomsten vertoont met het OAuth-misbruik-playbook van derden dat verband houdt met de Salesloft Drift- en Gainsight-compromissen die zich vorig jaar op Salesforce-omgevingen richtten.
“Bij de aanvallen die we hebben waargenomen, authenticeerde de tegenstander zich eerst via een gecompromitteerd Klue-integratieserviceaccount, genereerde OAuth-tokens en voerde geautomatiseerde Python-scripts uit (identificeerbaar door Python-urllib user-agent strings)”, aldus ReliaQuest-onderzoekers Thassanai McCabe en Alexa Feminella.
“Deze scripts somden eerst de objectcatalogus van de organisatie op via GET /services/data/v59.0/sobjects, en lieten vervolgens REST API-query’s doorlussen naar het Salesforce-query-eindpunt (/services/data/v59.0/query) en gepagineerde resultaten via de QueryMore-cursor gedurende bijna 24 uur.”
Dit wordt beoordeeld als acties voor het ophalen van bulkgegevens die zijn ontworpen om grote hoeveelheden CRM-records via de Salesforce REST API te halen. Dit omvatte een “geconcentreerde burst” van bijna duizend zoekopdrachten in 15 minuten tegen ten minste één omgeving en een extractievenster dat in een ander geval meer dan zes uur duurde.
Het is onduidelijk hoeveel Salesforce-klanten getroffen zijn door de laatste aanvallen, hoewel Klue zegt dat het rechtstreeks met de getroffen klanten heeft gecommuniceerd, onderzoeksresultaten heeft gedeeld en heeft geholpen bij hun reactie-inspanningen.
“De rode draad is het misbruik van OAuth-tokens of inloggegevens van een vertrouwde externe leverancier”, aldus ReliaQuest. “Deze integraties zijn niet-menselijke identiteiten met aanhoudende, vaak brede toegang tot gevoelige gegevens, maar ze worden doorgaans veel minder nauwlettend in de gaten gehouden dan werknemersaccounts. Deze kloof is de reden waarom een 24-uurs geautomatiseerde query-loop kan worden uitgevoerd vanuit een ‘vertrouwd’ integratieaccount zonder dat de gebruikelijke alarmen afgaan.”
