Klue отключили от Salesforce после OAuth-взлома и кражи CRM-данных

Платформа рыночной аналитики Klue оказалась в центре инцидента с OAuth-доступом к Salesforce: по данным BleepingComputer, атакующие, связанные с группой Icarus, получили доступ к CRM-данным нескольких организаций и используют украденную информацию для вымогательства. Salesforce уже отключила соединение приложения Klue Battlecards со своей платформой на время расследования.

Суть атаки не в классическом взломе паролей пользователей Salesforce, а в злоупотреблении доверенной интеграцией. Исследователи ReliaQuest сообщили, что злоумышленники получили доступ к сервисным аккаунтам Klue Battlecards и применяли OAuth-токены, связанные с клиентскими инстансами Salesforce. Это позволило им действовать через легитимный механизм авторизации и обращаться к Salesforce REST API.

По наблюдениям ReliaQuest, атака начиналась с разведки объектов Salesforce через endpoint /services/data/v59.0/sobjects, после чего данные выгружались запросами к /services/data/v59.0/query. В одном из случаев злоумышленники почти сутки использовали автоматизированные Python-скрипты: сначала медленно картировали структуру CRM, а затем резко ускорили выгрузку, отправив почти тысячу запросов за 15 минут. В другом эпизоде эксфильтрация продолжалась около шести часов.

Huntress отдельно подтвердила, что её собственные данные Salesforce были похищены в рамках этого инцидента. Это делает историю особенно чувствительной для рынка: речь идёт не просто о компрометации одного поставщика, а о риске цепочки доверия, где стороннее приложение получает широкие права на корпоративные CRM-данные. Даже если основная инфраструктура клиента не была взломана напрямую, OAuth-интеграция могла дать злоумышленникам достаточный доступ для кражи коммерческой информации.

Для организаций, использовавших Klue Battlecards, первоочередные меры — проверить журналы Salesforce API, отозвать или пересоздать токены, оценить объём выгруженных объектов и уведомить затронутых клиентов или партнёров, если данные подпадают под требования раскрытия инцидентов. Более широкий вывод для бизнеса — регулярно инвентаризировать SaaS-интеграции, ограничивать scope OAuth-доступа и контролировать аномальные массовые запросы к CRM.

Источник: BleepingComputer, 18 июня 2026