Les entreprises de cybersécurité faisaient partie des victimes de la violation.
Un attaquant s’est introduit dans le fournisseur de veille concurrentielle Klue, a volé les jetons OAuth que ses clients utilisent pour se connecter à Salesforce et à d’autres plates-formes, et a accédé aux données de plusieurs environnements clients, ce qui a incité l’entreprise à révoquer les jetons OAuth des clients et à désactiver les intégrations concernées.
« Un attaquant a obtenu l’accès via un identifiant hérité compromis associé à un service d’intégration », a déclaré Jason Smith, PDG de Klue, dans un message publié sur le blog de l’entreprise. « L’attaquant a utilisé cet accès pour obtenir des jetons OAuth utilisés pour connecter Klue à certaines plates-formes tierces, notamment Salesforce, et a ensuite accédé aux données d’un certain nombre d’environnements clients connectés », a-t-il écrit.
Klue a détecté l’intrusion le 12 juin et Smith a publié un message sur le blog le 19 juin.
La violation a atteint les comptes Salesforce des fournisseurs de cybersécurité Huntress et Recorded Future, ainsi qu’un nombre non divulgué d’autres clients de Klue.
Salesforce a désactivé l’intégration de Klue Battlecards et a déclaré que les organisations ne pouvaient pas se reconnecter via celle-ci jusqu’à nouvel ordre, déclarant dans une publication sur son site Web : « Nos équipes de sécurité ont récemment détecté une activité inhabituelle impliquant l’application qui aurait pu entraîner un accès non autorisé à un sous-ensemble de données client via la connexion de l’application à Salesforce. Ce problème est limité à la connexion de l’application de Klue et ne résulte pas d’une vulnérabilité au sein de la plate-forme Salesforce. «
Code non autorisé supprimé
Le PDG de Klue a énuméré les mesures de confinement prises par l’entreprise, notamment la révocation des informations d’identification et des jetons concernés, la désactivation des intégrations concernées, la notification aux forces de l’ordre et la « suppression du code non autorisé ». Il n’a fourni aucun autre détail sur le code non autorisé, comment il est arrivé ou ce qu’il a fait. La société n’a pas immédiatement répondu à une demande de détails supplémentaires sur la suppression du code non autorisé.
Huntress, fournisseur de sécurité et client de Klue, a publié sa propre enquête pour combler cette lacune. Les attaquants avaient poussé une mise à jour du code d’un système d’intégration Klue conçu pour récolter les jetons OAuth des clients, a écrit Huntress. Le personnel de Klue a ensuite trouvé le « code de vol de jeton » et l’a supprimé, a ajouté Huntress dans son rapport d’enquête.
Le point d’entrée initial était un identifiant que Klue avait créé pour prototyper une intégration qu’il avait ensuite abandonnée mais jamais désactivée. « L’acteur malveillant semble avoir exploité un identifiant longtemps désaffecté mais toujours actif pour effectuer le compromis initial – celui qui a été créé à l’origine par Klue pour prototyper une intégration tierce qu’il a ensuite abandonnée », a déclaré Huntress. L’attaquant a ensuite traversé l’infrastructure de Klue, collecté des jetons client et les a utilisés pour interroger les systèmes CRM de ces clients avant d’exfiltrer les données, a ajouté l’entreprise.
Klue a mis fin aux intégrations avec Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive et Slack et a émis une alerte générale le 13 juin, selon Huntress. Cette alerte « n’indiquait pas quels clients étaient concernés », a noté la société. Aucun client concerné n’a été nommé.
Données extraites sur 24 heures
Une autre société de sécurité, ReliaQuest, a retracé la manière dont les données CRM des clients étaient extraites de Salesforce. L’attaquant s’est authentifié auprès des comptes du service d’intégration Klue des victimes, a généré des jetons OAuth et a exécuté des scripts Python automatisés qui ont interrogé l’API REST de Salesforce pendant environ 24 heures, a indiqué ReliaQuest dans son analyse des menaces.
L’activité était cohérente avec la récupération de données en masse plutôt qu’avec le trafic d’intégration de routine, a-t-il noté – une distinction qui n’aurait pas été visible sans la journalisation de la couche API.
ReliaQuest a conseillé aux organisations qui avaient connecté Klue à Salesforce de traiter l’incident comme une invitation à révoquer et à alterner tous les jetons OAuth et à actualiser les jetons liés à cette intégration, à examiner les journaux de l’API Salesforce pour détecter les volumes de requêtes inhabituels et à restreindre les comptes d’intégration tiers aux plages IP connues.
« Toute application tierce disposant d’un accès OAuth à une plate-forme principale telle que Salesforce fait partie de votre surface d’attaque et doit être inventoriée, surveillée et limitée au moindre privilège », a déclaré la société.
Données Salesforce et Gong prises
Huntress a confirmé qu’elle faisait partie des clients concernés. Les contacts commerciaux, les devis et les communications commerciales de son compte Salesforce ont été pris en compte, a indiqué la société. Les mots de passe, les données des cartes de paiement, les renseignements sur les menaces et la télémétrie des produits n’ont pas été compromis, et le produit et l’infrastructure Huntress sont restés intacts.
Des parties du compte Salesforce d’un autre fournisseur de cybersécurité, Recorded Future, ont également été consultées, a indiqué la société. « Toutes les preuves disponibles suggèrent que Recorded Future n’a pas été spécifiquement ciblé mais a plutôt été une victime accidentelle en raison de l’utilisation de l’intégration compromise entre Salesforce et Klue », a déclaré Recorded Future. L’exposition semble limitée aux noms des contacts des clients, aux adresses e-mail et éventuellement à certaines informations contractuelles, ajoute-t-il.
Icare revendique l’attaque
Huntress a attribué l’attaque à un nouveau groupe d’extorsion se faisant appeler Icarus, après que les identifiants des messagers de session dans les e-mails d’extorsion correspondaient aux identifiants sur le site de fuite du groupe sur le dark web. Icarus a répertorié Klue publiquement le 19 juin et a déclaré avoir exfiltré les données Salesforce d’un certain nombre de sociétés partenaires de Klue. Le groupe a indiqué qu’il pourrait contacter directement les organisations concernées, ce qui signifie que les clients de Klue doivent s’attendre à des contacts non sollicités et consulter leurs dossiers de spam pour les e-mails associés, a déclaré Huntress.
L’activité correspondait au modèle d’abus d’OAuth derrière les compromissions Salesloft Drift et Gainsight de 2025, liés à ShinyHunters et UNC6395, mais les preuves étaient insuffisantes pour relier l’incident de Klue à l’un ou l’autre groupe, a déclaré la société.
« Le manuel d’utilisation d’OAuth contre les abus est reproductible, efficace et désormais largement adopté », prévient-il.
