Инциденты

Хакеры взломали Klue, а потом, похоже, взломали уже самих хакеров: OAuth-токены снова стали входной дверью в Salesforce

Маша Даровская
By Маша Даровская , IT-редактор и автор
Хакеры взломали Klue, а потом, похоже, взломали уже самих хакеров: OAuth-токены снова стали входной дверью в Salesforce
Обложка © Anonhaven

История с атакой на Klue стала одной из самых показательных supply chain-историй июня 2026 года. На первый взгляд речь идёт о нишевой платформе для конкурентной разведки и battlecards — внутренних карточек продаж, где команды собирают аргументы против конкурентов, заметки по сделкам, аналитику и материалы для менеджеров. На практике Klue оказалась удобным мостом к Salesforce клиентов.

Атака началась 11–12 июня. Злоумышленники использовали скомпрометированные старые учётные данные, связанные с интеграционным сервисом Klue. Через этот доступ они добрались до инфраструктуры интеграций, получили OAuth-токены клиентов и начали выгружать данные из подключённых сред Salesforce.

OAuth-токен — это разрешение, которое одна система выдаёт другой: например, Klue получает право читать или синхронизировать часть данных Salesforce клиента. Удобно для бизнеса, опасно для безопасности. Если такой токен украден, смена пароля пользователя сама по себе не всегда помогает. Токен нужно отзывать отдельно.

Klue сообщила, что 12 июня обнаружила несанкционированную активность в части инфраструктуры интеграций. Расследование показало: атакующий получил доступ через старые скомпрометированные учётные данные, связанные с интеграционным сервисом. Далее он использовал этот доступ для получения OAuth-токенов, которые связывали Klue с внешними платформами клиентов, включая Salesforce.

Huntress описала более техническую картину. Атакующие, вероятно, добавили вредоносное обновление кода в систему интеграций Klue. Этот код собирал OAuth-токены клиентов. Затем токены применялись для доступа к Salesforce-средам и массовой выгрузки данных.

ReliaQuest наблюдала похожий сценарий: автоматические Python-скрипты обращались к Salesforce REST API, перечисляли объекты и выгружали CRM-записи. В одном из эпизодов активность достигала почти тысячи запросов за 15 минут, а длительные окна выгрузки растягивались на часы.

Это выглядело не как случайный доступ к одной таблице, а как системная выкачка данных через доверенную интеграцию.

Klue используют команды продаж, маркетинга и конкурентной разведки. Такие сервисы часто подключают к Salesforce, Gong, HubSpot, Slack, Google Drive, SharePoint, Zoom, Clari и другим платформам. Интеграции нужны для синхронизации сделок, контактов, заметок, карточек конкурентов, записей разговоров и материалов для продавцов.

Первые публичные заявления пришли от компаний из самой кибербезопасности. Среди затронутых назывались Huntress, Recorded Future, Tanium, Jamf, HackerOne, Snyk, OneTrust и другие клиенты Klue. Позже список расширился: SecurityWeek сообщила примерно о двух десятках компаний, которые уведомили клиентов или публично подтвердили влияние инцидента.

В перечне также фигурировали AlertMedia, Blackbaud, Camunda, Cresta, Deel, Lucanet, Link11 и Tines. Отдельные клиенты Klue могли не пострадать, если не использовали интеграцию с Salesforce или не подключали затронутый контур.

Состав данных отличался от компании к компании. Huntress указала, что могли быть затронуты названия компаний, сведения о продуктах, подписки, цены, контактная информация, рабочие адреса, должности, телефоны, маркетинговые и sales-коммуникации, заметки по возможностям и сделкам.

Компания отдельно подчеркнула, что её продуктовая инфраструктура, телеметрия угроз, платёжные карты и пароли не были скомпрометированы. Это типичная картина для CRM-инцидента: не украли «всё», но забрали данные, которые очень удобны для последующего фишинга и социальной инженерии.

Ответственность за атаку взяла на себя группа Icarus. Она разместила Klue и нескольких клиентов на Tor-сайте утечек и начала вымогательское давление. В сообщениях группы утверждалось, что Salesforce-инстансы компаний, связанных с Klue, были выгружены.

По данным SecurityWeek, Klue якобы уведомляла клиентов, что сама Icarus была взломана, а украденные данные попали к другому злоумышленнику, который запустил собственное вымогательство. 

Если это подтвердится, получится почти карикатурная, но очень показательная цепочка: клиентские данные ушли через Klue, затем оказались у вымогателей, потом могли перейти к ещё одной группе. Для жертв это худший сценарий. Даже если первая группа что-то удалила или договорилась, контроль над копиями данных уже потерян.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.