Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

TechCrunch+1securityweek+1theregisterUne attaque de la chaîne d'approvisionnement sur la plateforme d'intelligence de marché Klue a compromis les données Salesforce d'une liste croissante d'organisations, y compris plusieurs entreprises de cybersécurité, après qu'un groupe d'extorsion nouvellement apparu appelé Icarus a exploité un identifiant hérité volé pour récolter des jetons OAuth à partir de l'infrastructure d'intégration de la plateforme.
La faille a commencé le 11 juin 2026, lorsque les attaquants ont utilisé un identifiant hérité compromis pour accéder aux serveurs backend de Klue et pousser une mise à jour de code malveillant conçue pour collecter les jetons OAuth liés aux intégrations des clients. Klue a identifié l'activité non autorisée le 12 juin et a immédiatement désactivé les jetons OAuth pour tous les clients, désactivant les intégrations avec Salesforce , HubSpot, SharePoint, Zoom, Gong, Google Drive et Slack.securityweek+3
Selon la société de cybersécurité ReliaQuest, les attaquants ont abusé de l'API REST de Salesforce pour exfiltrer de grands volumes de données CRM sur une période de 24 heures, incluant "une rafale concentrée de près de mille requêtes en 15 minutes et des fenêtres d'extraction soutenues durant plus de 6 heures". Salesforce a confirmé que le problème était limité à la connexion de l'application Klue et ne provenait pas d'une vulnérabilité de la plateforme Salesforce elle-même, et a désactivé l'intégration Klue Battlecards le 17 juin.Salesforce Ben+2
La liste des organisations touchées s'est rapidement allongée. Huntress, Recorded Future, Tanium, Jamf, HackerOne, Kudelski Security, Snyk, Insurity et Sprout Social ont tous révélé que des données CRM avaient été consultées via l'intégration compromise. Le PDG de Klue, Jason Smith, a reconnu l'attaque dans un article de blog le 20 juin, déclarant qu'"un attaquant a obtenu l'accès via un identifiant hérité compromis associé à un service d'intégration" et l'a utilisé pour obtenir des jetons OAuth connectant Klue à des plateformes tierces.theregister+1
LastPass a également confirmé avoir été touché. Dans un article de blog, l'entreprise a déclaré que des pirates avaient accédé aux noms des clients, numéros de téléphone, adresses e-mail, adresses physiques, données de dossiers de support et informations liées aux ventes depuis son environnement Salesforce. LastPass a souligné que ses produits principaux, son infrastructure et les coffres-forts de mots de passe des clients n'ont pas été compromis.TechCrunch+1
Huntress a attribué l'attaque à Icarus, un groupe d'extorsion apparu fin avril 2026. Le groupe a contacté les victimes en utilisant le pseudonyme "mr bean" et les a dirigées vers un identifiant Session Messenger lié au site de fuite d'Icarus. Le groupe a publiquement menacé de divulguer les données volées si les demandes de rançon ne sont pas satisfaites. Klue a engagé CrowdStrike pour l'aider dans son enquête et sa réponse.ThreatLocker+3