Представители платформы для конкурентной разведки Klue подтвердили взлом своей инфраструктуры. Атакующие похитили OAuth-токены, которые продукт Klue Battlecards использовал для подключения к Salesforce, а затем выгрузили CRM-данные как минимум девяти организаций. В частности, атака затронула HackerOne, Huntress, Jamf, OneTrust, Recorded Future, Snyk, Tanium, Insurity и Sprout Social.
Как сообщили в компании, впервые подозрительная активность была замечена 12 июня 2026 года. Расследование показало, что злоумышленники проникли в системы через скомпрометированные учетные данные от устаревшего сервиса интеграции. По данным аналитиков из компании Huntress, речь идет об активном аккаунте, который создали для прототипа одной из интеграций, но он давно не использовался.
Получив доступ к инфраструктуре Klue, атакующие внедрили вредоносный код и похитили действующие OAuth-токены клиентов, что позволило напрямую подключаться к связанным Salesforce-инстансам без кражи паролей. Подчеркивается, что данные, хранившиеся непосредственно на платформе, в результате инцидента не пострадали, и атака затронула только сторонние интеграции.
Исследователи из компании ReliaQuest отмечают, что хакеры также выпускали новые OAuth-токены и почти сутки опрашивали REST API Salesforce с помощью Python-скриптов. Сначала злоумышленники изучали структуру CRM и искали представляющие интерес объекты, а затем переходили к быстрой выгрузке выбранных данных. В одном из случаев за 15 минут хакеры отправили около тысячи запросов. В итоге доступ к средам Salesforce привел к масштабной краже данных.
После обнаружения атаки специалисты Klue отозвали скомпрометированные учетные данные и токены, удалили посторонний код и отключили затронутые интеграции. Также были временно деактивированы подключения к Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive и Slack. К расследованию привлекли специалистов компании CrowdStrike и правоохранительные органы.
Среди пострадавших от этой атаки оказались HackerOne, Huntress, Jamf, OneTrust, Recorded Future, Snyk, Tanium, Insurity, Sprout Social, а также платформа Gong. Во всех случаях злоумышленники получили доступ к Salesforce организаций, но не добрались до внутренней инфраструктуры, платежных данных и основных продуктов компаний.
Среди похищенной хакерами информации были имена, email-адреса, должности, телефоны, рабочие адреса, данные аккаунтов, переписки с отделами продаж, коммерческие предложения и отчеты о конкурентах.
Как подчеркивают специалисты Huntress, телеметрия клиентов, пароли, данные банковских карт и инженерные системы не пострадали. В свою очередь представители Gong заявили, что атакующие не имели доступа к записям звонков и их расшифровкам.
Еще на прошлой неделе издание Bleeping Computer сообщало, что ответственность за эту атаку лежит на вымогательской группировке Icarus, активной с апреля 2026 года. Журналисты писали, что пострадавшие компании получили письма, в которых злоумышленники требовали связаться с ними в мессенджере Session, и указанные данные совпали с контактами, опубликованными на сайте группировки в даркнете.
Позже участники Icarus признали, что стоят за атакой на Klue, а информация о взломе появилась на сайте группы. Теперь хакеры угрожают опубликовать украденную информацию, если представители Klue и ее клиентов не начнут переговоры.
Представители пострадавших компаний предупреждают, что похищенные деловые контакты могут использоваться для фишинга, атак с применением социальной инженерии и дальнейших попыток шантажа.
