Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

TechCrunch+1securityweek+1theregisterÚtok na dodavatelský řetězec platformy pro tržní zpravodajství Klue ohrozil data Salesforce u rostoucího seznamu organizací, včetně mnoha společností zabývajících se kybernetickou bezpečností, poté, co nově vzniklá vyděračská skupina s názvem Icarus zneužila ukradené zastaralé přihlašovací údaje k získání OAuth tokenů z integrační infrastruktury platformy.
Narušení začalo 11. června 2026, kdy útočníci použili kompromitované zastaralé přihlašovací údaje k získání přístupu k backendovým serverům Klue a nasazení aktualizace škodlivého kódu určeného ke sběru OAuth tokenů vázaných na integrace zákazníků. Klue identifikovala neoprávněnou aktivitu 12. června a okamžitě deaktivovala OAuth tokeny pro všechny zákazníky, čímž zakázala integrace se Salesforce , HubSpot, SharePoint, Zoom, Gong, Google Drive a Slack.securityweek+3
Podle kybernetické bezpečnostní firmy ReliaQuest útočníci zneužili Salesforce REST API k exfiltraci velkého objemu CRM dat během 24 hodin, včetně „koncentrovaného nárazu téměř tisíce dotazů během 15 minut a trvalých extrakčních oken trvajících přes 6 hodin“. Salesforce potvrdil, že problém byl omezen na připojení aplikace Klue a nepramenil ze zranitelnosti samotné platformy Salesforce, a 17. června zakázal integraci Klue Battlecards.Salesforce Ben+2
Seznam postižených organizací rychle roste. Huntress, Recorded Future, Tanium, Jamf, HackerOne, Kudelski Security, Snyk, Insurity a Sprout Social – ti všichni odhalili, že k CRM datům byl získán přístup prostřednictvím kompromitované integrace. Generální ředitel Klue Jason Smith uznal útok v příspěvku na blogu 20. června a uvedl, že „útočník získal přístup prostřednictvím kompromitovaných zastaralých přihlašovacích údajů spojených s integrační službou“ a použil je k získání OAuth tokenů propojujících Klue s platformami třetích stran.theregister+1
LastPass také potvrdil, že byl zasažen. V příspěvku na blogu společnost uvedla, že hackeři získali přístup ke jménům zákazníků, telefonním číslům, e-mailovým adresám, fyzickým adresám, údajům o případech podpory a informacím souvisejícím s prodejem z jejího prostředí Salesforce. LastPass zdůraznil, že její hlavní produkty, infrastruktura a trezory s hesly zákazníků nebyly kompromitovány.TechCrunch+1
Huntress připsal útok skupině Icarus, vyděračské skupině, která se objevila koncem dubna 2026. Skupina kontaktovala oběti pomocí aliasu „mr bean“ a nasměrovala je na ID Session Messenger propojené s únikovou stránkou Icarus. Skupina veřejně pohrozila zveřejněním ukradených dat, pokud nebudou splněny požadavky na výkupné. Klue najala CrowdStrike, aby pomohl s vyšetřováním a reakcí.ThreatLocker+3