Zum Inhalt springen

Icarus-Erpressergruppe stiehlt Salesforce-Daten über kompromittierte Klue-Token

Auf den Punkt: Gestohlene OAuth-Token aus einer kompromittierten Klue-Integration ermöglichten der Icarus-Gruppe massenhaften Datenzugriff auf Salesforce-Kundenkonten über automatisierte API-Abfragen.

Die Erpressergruppe Icarus hat über gestohlene OAuth-Token der App Klue Battlecards Zugriff auf Salesforce-Kundenumgebungen erlangt und Geschäftsdaten kopiert. Salesforce deaktivierte daraufhin die Integration der betroffenen Anwendung.

Am 11. Juni 2026 entdeckte Salesforce ungewöhnliche Aktivitäten in der Integration der Konkurrenzanalyse-App Klue Battlecards. Unbefugte Akteure drangen in Kundenumgebungen ein und extrahierten geschäftsrelevante Daten wie Kontakte, Preisangebote und Vertriebsnachrichten. Das Sicherheitsunternehmen Huntress war unter anderem betroffen. Nach Angabe von Salesforce und Klue wurden Passwörter und Kreditkartendaten nicht kompromittiert. Die Schwachstelle lag in der App-Integration, nicht in der Salesforce-Plattform selbst.

Die Angreifer nutzten ein veraltetes, aber noch aktives Zertifikat von Klue, das ursprünglich für einen nicht realisierten Prototyp einer Drittanbieter-Integration erstellt worden war. Über diesen Zugang verschafften sich die Täter Zugriff auf die Infrastruktur von Klue und erbeuteten die OAuth-Token, mit denen Kundenkonten mit Drittanbieter-Plattformen verbunden sind. Klue-Chef Jason Smith erklärte, die Angreifer hätten diese Token verwendet, um auf eine Reihe von verbundenen Kundenumgebungen zuzugreifen.

ReliaQuest zufolge setzten die Hacker automatisierte Python-Skripte ein, um knapp 24 Stunden lang Datenabfragen über die Salesforce-API durchzuführen. In einer Phase wurden innerhalb von 15 Minuten fast tausend Abfragen gestartet. Am 16. Juni 2026 verschickten die Täter Erpresser-E-Mails an betroffene Unternehmen mit einer 48-Stunden-Zahlungsfrist. Die Erpressergruppe Icarus ist seit Ende April 2026 aktiv. Klue hat alle betroffenen Zertifikate und Token widerrufen, den unbefugten Code entfernt und eine Untersuchung eingeleitet.


Quelle: www.it-daily.net · Erschienen 22. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.

Share on: