Większość firm myśli o bezpieczeństwie swoich danych w kategoriach własnych haseł i własnych serwerów. Tymczasem coraz częściej dane wyciekają nie przez drzwi frontowe, lecz przez zaufaną aplikację, której kiedyś nadano dostęp i o której dawno zapomniano. Dokładnie tak wyglądał incydent ujawniony w czerwcu 2026 roku. 12 czerwca platforma analityczna Klue wykryła nieautoryzowaną aktywność w swojej infrastrukturze integracji, a do 13 czerwca wyłączyła skompromitowane poświadczenia i powiązania z zewnętrznymi systemami. Skutki były poważne: napastnicy z grupy Icarus wykorzystali tokeny OAuth, którymi klienci Klue łączyli swoje konta Salesforce i Gong, by wykraść z tych systemów dane handlowe. Na liście ofiar znalazły się m.in. Huntress, Recorded Future, Tanium, Jamf, Sprout Social i Gong.
Jak doszło do włamania
Punktem wejścia było stare, zapomniane poświadczenie (tzw. legacy credential), które wciąż miało dostęp do zaplecza Klue. Dzięki niemu napastnicy zdołali wprowadzić własną aktualizację kodu do systemów backendowych platformy. Ta złośliwa zmiana zbierała tokeny OAuth — czyli cyfrowe „klucze dostępu”, którymi klienci Klue autoryzowali połączenie ze swoimi środowiskami Salesforce, Gong i innymi usługami.
Kluczowy mechanizm tego ataku to właśnie token OAuth. Gdy łączysz dwie usługi przyciskiem „Połącz konto”, nie podajesz hasła aplikacji zewnętrznej — zamiast tego dostaje ona token, który działa jak przepustka ważna do odwołania. Problem w tym, że taki token zwykle omija uwierzytelnianie wieloskładnikowe (MFA) i pozostaje aktywny w tle, nawet gdy nikt o nim nie pamięta. Kto przejmie token, ten wchodzi do systemu jako zaufana, wcześniej zatwierdzona aplikacja — bez hasła i bez drugiego składnika logowania.
Co wyciekło i kto za tym stoi
Skradzione dane to przede wszystkim zawartość systemów CRM: kontakty biznesowe, korespondencja handlowa, informacje o cenach oraz notatki dotyczące prowadzonych negocjacji i szans sprzedażowych. To materiał o ogromnej wartości — pozwala nie tylko na szantaż, ale i na precyzyjnie ukierunkowane oszustwa wobec klientów ofiar.
Do ataku przyznała się nowa grupa wymuszeniowa o nazwie Icarus. 16 czerwca rozesłała do poszkodowanych firm e-maile z żądaniem okupu i zaczęła wywierać presję poprzez własną stronę z wyciekami. Klue, reagując na incydent, odłączyło integracje nie tylko z Salesforce, ale też z HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive i Slack, unieważniło tokeny, usunęło wstrzyknięty kod i zaangażowało firmę CrowdStrike do analizy powłamaniowej.
Jak się chronić
Ten atak to przykład zagrożenia łańcucha dostaw — nie zawiniła żadna z firm-ofiar, lecz zaufany dostawca, któremu udzieliły dostępu. Mimo to można ograniczyć ryzyko. Regularnie przeglądaj listę aplikacji połączonych z Twoim Salesforce, Microsoft 365 czy Google Workspace i odbieraj dostęp tym, których już nie używasz — każda aktywna integracja to potencjalny punkt wejścia. Ograniczaj zakres uprawnień nadawanych zewnętrznym aplikacjom do niezbędnego minimum, zamiast przyznawać pełny dostęp „na wszelki wypadek”.
Włącz w panelach administracyjnych monitorowanie nietypowej aktywności tokenów OAuth — masowe pobieranie danych przez integrację to sygnał alarmowy. Warto też ustawić wygasanie tokenów i wymuszać ich okresowe odnawianie, by zapomniana przepustka nie działała w nieskończoność. Po stronie kont uprzywilejowanych zlikwiduj stare, nieużywane poświadczenia, bo to właśnie jedno z nich stało się punktem wyjścia całego ataku.
Podsumowanie
Incydent z Klue pokazuje, że MFA i silne hasła nie wystarczą, jeśli obok nich istnieje aktywny token OAuth, który omija te zabezpieczenia. Im więcej aplikacji łączymy ze sobą w imię wygody, tym większa staje się powierzchnia ataku — a najsłabszym ogniwem bywa nie nasza firma, lecz zaufany dostawca. Audyt połączonych aplikacji i zasada minimalnych uprawnień to dziś podstawowa higiena bezpieczeństwa, równie ważna jak zmiana hasła.
źródło: https://thehackernews.com/2026/06/salesforce-disables-klue-app.html