Zum Inhalt springen

Klue-Breach: Angreifer stahlen OAuth-Token und accessed Salesforce-Daten von Kunden

Auf den Punkt: Angreifer nutzten eine vergessene, aber noch aktive Klue-Credential zur Infiltration, implantiertes Token-Harvesting-Code zum Diebstahl von OAuth-Tokens und Python-Skripte zu 24-Stunden-Datenbezug aus Salesforce-Systemen von Kunden wie Huntress und Recorded Future.

Bei der Competitive-Intelligence-Plattform Klue drangen Angreifer über eine nicht deaktivierte Legacy-Credential ein, stahlen OAuth-Token ihrer Kunden und griffen auf Salesforce-CRM-Daten mehrerer Kundensysteme zu. Salesforce sperrte die Klue-Integration daraufhin vorerst für Neuzuverbindungen.

Die Competitive-Intelligence-Plattform Klue wurde am 12. Juni 2024 Opfer eines Bruchs. Angreifer erlangten Zugang über eine altgediente Integrations-Credential, die Klue ursprünglich zum Prototyping einer später verworfenen Integration angelegt hatte und nie deaktivierte. Von dort aus verschafften sie sich OAuth-Token, die Klue-Kunden zur Verbindung mit Salesforce und anderen Plattformen nutzen, und griffen auf Daten in mehreren dieser Kundensysteme zu. Klue CEO Jason Smith bestätigte dies am 19. Juni.

Nach Huntress’ Untersuchung hatten Angreifer ein Code-Update in ein Klue-Integrationssystem eingespielt, das speziell OAuth-Token von Kunden abfangen sollte. Klue-Mitarbeiter identifizierten diesen Token-Theft-Code später und entfernten ihn. Die betroffenen Kunden umfassen die Cybersecurity-Anbieter Huntress und Recorded Future sowie eine nicht offengelegte Zahl weiterer Klue-Kunden. Klue sperrte daraufhin Integrationen mit Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive und Slack.

Gemäß ReliaQuest-Analyse liefen die Angreifer automatisierte Python-Skripte etwa 24 Stunden lang gegen die Salesforce REST API der kompromittierten Systeme. Das Abfrage-Volumen war ungewöhnlich hoch und hätte nur mit API-Layer-Logging erkannt werden können. ReliaQuest zufolge deaktivierte Salesforce die Klue-Battlecards-Integration und untersagte Neuzuverbindungen bis auf Weiteres, da die Aktivitäten auf unbefugte Datenzugriffe hindeuteten. Salesforce betonte, dass keine Schwachstelle auf seiner Plattform verursacht, sondern allein Kluees App-Verbindung kompromittiert wurde.

CISOs sollten dies zum Anlass nehmen, alle OAuth- und Refresh-Token für Kluees Salesforce-Integration zu widerrufen und neu auszustellen, Salesforce-API-Logs auf ungewöhnliche Abfragevolumen zu prüfen und Third-Party-Integrationskonten auf bekannte IP-Ranges zu beschränken. ReliaQuest warnt: Jede Drittanbieter-App mit OAuth-Zugang zu Kernplattformen wie Salesforce gehört zur Angriffsfläche einer Organisation und erfordert kontinuierliche Überwachung.


Quelle: www.csoonline.com · Erschienen 22. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.

Share on: