Um ataque sofisticado à cadeia de suprimentos na plataforma de inteligência de mercado Klue comprometeu dados do Salesforce em pelo menos nove organizações, incluindo várias empresas de segurança de alto perfil, com o novo grupo de extorsão Icarus assumindo a responsabilidade e ameaçando liberar dados roubados. O ataque começou em 11 a 12 de junho de 2026, quando atores de ameaças ganharam acesso não autorizado à infraestrutura de integração da Klue usando uma credencial legada comprometida vinculada a uma conta de serviço de integração.
Descoberta e escopo
Aproveitando esse ponto de apoio, os atacantes enviaram uma atualização de código malicioso para colher tokens OAuth, as chaves de autorização que permitem que a Klue se conecte com plataformas de terceiros de clientes, mais criticamente o Salesforce. A Klue identificou a atividade não autorizada em 12 de junho e notificou os clientes no mesmo dia, revogando imediatamente credenciais afetadas e desabilitando integrações com Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive e Slack.
Vetor e exploração
Uma vez dentro, os atacantes abusaram da API REST do Salesforce para exfiltrar grandes volumes de dados de CRM, executando quase 1.000 consultas de API em apenas 15 minutos durante a atividade de pico, com janelas de extração sustentadas durando mais de 6 horas, de acordo com a empresa de inteligência de ameaças ReliaQuest. Os dados roubados foram principalmente informações de contato comercial, nomes, endereços de e-mail, cargos, números de telefone, endereços comerciais, dados de conta de vendas, cotações de preços e comunicações de vendas.
Impacto e alcance
p>Nenhum dado de plataforma central, telemetria de produto, inteligência de ameaças, senhas ou informações de cartão de pagamento foi relatado comprometido por nenhuma das organizações afetadas. Pelo menos nove organizações divulgaram publicamente o impacto da violação, incluindo HackerOne, Huntress, Jamf, OneTrust, Recorded Future, Snyk, Sprout Social, Insurity, Tanium e Gong. O grupo de cibercrime Icarus reivindicou publicamente o ataque em sua plataforma de vazamento, afirmando que obteve dados de múltiplos ambientes Salesforce parceiros da Klue.Repercussão
O grupo emitiu uma demanda de resgate, ameaçando liberar os dados roubados a menos que a Klue cumprisse. Investigadores da Huntress corresponderam indicadores de seu próprio ambiente comprometido à infraestrutura do Icarus, expressando alta confiança na atribuição. Uma nota de resgate foi supostamente enviada usando um endereço de e-mail vinculado a uma empresa australiana, potencialmente comprometida como parte da operação.
Medidas de mitigação recomendadas
A Klue envolveu a CrowdStrike para resposta a incidentes e investigação forense, notificou as autoridades e está conduzindo uma revisão completa do gerenciamento de credenciais, capacidades de monitoramento e processos de implantação. Todos os CEOs das empresas afetadas enfatizaram que o comprometimento foi isolado à camada de integração Klue-Salesforce e não envolveu suas plataformas centrais ou infraestrutura interna.
O que os CISOs devem fazer imediatamente
A violação da Klue destaca o risco em cascata de ataques de cadeia de suprimentos baseados em OAuth: uma única credencial de integração comprometida pode desbloquear dados sensíveis em dezenas de ambientes empresariais interconectados simultaneamente. Equipes de segurança devem revisar imediatamente todas as integrações de terceiros e garantir que as credenciais de API sejam rotacionadas e monitoradas para atividades anômalas.