Клиенты платформы конкурентной разведки Klue столкнулись с утечкой данных из Salesforce после атаки на интеграционный слой сервиса. Злоумышленники получили доступ к OAuth-токенам, которые Klue использовал для подключения к внешним SaaS-платформам, а затем применили их для запросов к Salesforce через REST API.
Среди публично подтвердившихся затронутых компаний— Huntress и Recorded Future. Обе компании занимаются кибербезопасностью. При этом их продукты, агентская телеметрия, платформы threat intelligence, пароли, платёжные данные и инженерная инфраструктура, по их заявлениям, не были скомпрометированы. Инцидент затронул CRM-данные: контакты, коммерческую переписку, ценовые предложения, сведения о сделках и отдельные элементы договорной информации.
Атака началась 11 июня 2026 года. В инфраструктуре Klue появилась аномальная активность, связанная с системами интеграций. Злоумышленники подключились к бэкенд-серверам Klue, выполнили несанкционированные команды и добавили код, который собирал OAuth-токены клиентов. Эти токены нужны, чтобы Klue мог синхронизироваться с Salesforce и другими сервисами без повторного входа пользователя.
Klue обнаружил проблему на следующий день и отключил OAuth-учётные данные для всех клиентов. Компания также временно остановила интеграции с Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive и Slack App. Позже Salesforce отдельно отключила подключение Klue Battlecards к Salesforce, сославшись на необычную активность, которая могла привести к несанкционированному доступу к части клиентских данных через соединение приложения.
Технически это выглядит как типичный современный supply chain-инцидент в SaaS. Атакующим не нужно ломать Salesforce как платформу и обходить MFA сотрудника. Достаточно получить рабочий OAuth-токен доверенного приложения. Salesforce принимает такой токен как легитимный ключ от подключенного сервиса. Запросы идут от интеграции, которую клиент сам когда-то разрешил.
ReliaQuest описала схему подробнее. Атакующие аутентифицировались через скомпрометированный сервисный аккаунт Klue-интеграции, сгенерировали OAuth-токены и начали автоматизированно обращаться к Salesforce REST API. Сначала они перечисляли доступные объекты через /services/data/v59.0/sobjects, затем проходили по endpoint /services/data/v59.0/query и выгружали записи через постраничные запросы. В логах встречались user-agent вроде Python-urllib/3.12 и Python-urllib/3.14.
Характер запросов указывает на массовую выгрузку. В одном случае исследователи видели почти тысячу запросов за 15 минут. В другом — длительную сессию извлечения данных более шести часов. Такой темп удобен для атакующего: сначала тихий сбор большого массива CRM, потом ускорение, если есть риск блокировки.
Huntress пишет, что первичный компромисс мог быть связан с давно неиспользуемыми, но все еще активными учетными данными. Эти данные когда-то создали для прототипа сторонней интеграции Klue, а затем не вывели из эксплуатации. После входа атакующий продвинулся внутри инфраструктуры Klue, похитил токены клиентов и уже через них пошёл в CRM-системы.
Это один из самых неприятных сценариев для команд безопасности: старая интеграция выглядит заброшенной, но остается действующей; токен живет дольше, чем сам проект; доступ не пересматривается годами; журналы API почти никто не читает, пока не приходит письмо от вымогателей.
Huntress получила такие письма 16 июня. Отправитель утверждал, что данные были скачаны из-за инцидента у партнера Klue, и предлагал выйти на связь через Session Messenger. В одном из писем была ошибка с идентификатором Session, затем пришло второе письмо с исправлением. Huntress сопоставила эти идентификаторы с leak-сайтом новой вымогательской группы Icarus и заявила о высокой уверенности, что именно этот актор стоит за компрометацией Klue.
С атрибуцией стоит быть осторожнее. Huntress указывает на Icarus. ReliaQuest отмечает сходство с прежними кампаниями против Salesforce-экосистемы, где злоупотребляли OAuth-токенами Salesloft Drift и Gainsight, но пишет, что доказательств для уверенной привязки к ShinyHunters, UNC6395 или другой группе недостаточно.
Recorded Future подтвердила, что 17 июня обнаружила затронутые элементы своего Salesforce-аккаунта через скомпрометированный OAuth-токен между Salesforce и Klue. Компания оценивает impact как ограниченный бизнес-полями Salesforce: имена и email-адреса клиентов, а также часть договорной информации. Recorded Future отдельно указала, что ее основная платформа, Intelligence Graph и внутренняя инфраструктура не затронуты.
Huntress описывает похожую картину. Скопированные данные включали деловые контакты, ценовые предложения, sales-related сообщения, задачи, часть сведений о продуктовых ценах и конкурентных рыночных отчетах. Компания заявила, что учётные данные клиентов, партнеров, защищаемых организаций и сотрудников не были скомпрометированы. Продукт Huntress тоже не пострадал.
Компаниям, использующим Klue, нужно отозвать и перевыпустить OAuth-токены, включая refresh-токены, проверить все Klue-интеграции, запросить недостающие логи у поставщиков и посмотреть Salesforce API-активность за период с 11 июня. Отдельное внимание — запросам к /services/data/v59.0/query, большому числу QueryMore-запросов, user-agent Python-urllib, пустым user-agent и обращениям с неизвестных IP.
Salesforce-администраторам стоит пересмотреть все подключенные приложения, а не только Klue. Нужно убрать старые connected apps, отключить давно неиспользуемые сервисные аккаунты, включить IP-ограничения для интеграций, урезать OAuth scope, запретить доступ “ко всему Salesforce” без бизнес-причины и настроить алерты на массовый экспорт. Refresh-токен должен жить не “вечно”, а ровно столько, сколько требует сценарий.
Проверьте, используется ли Klue и какие SaaS-сервисы к нему подключены. В Salesforce найдите Klue Battlecards, связанные connected apps, сервисные аккаунты, OAuth grants и refresh-токены. Отзовите старые токены, перевыпустите секреты и временно отключите интеграции, если бизнес может пережить паузу.
Посмотрите API-логи Salesforce с 11 июня 2026 года. Ищите необычный объём запросов, частые обращения к query endpoint, длительные выгрузки, неизвестные IP-адреса, Python-urllib/3.12, Python-urllib/3.14, пустой user-agent и активность сервисных аккаунтов вне обычного окна синхронизации.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
