Auf den Punkt: Eine OAuth-Schwachstelle in der Plattform Klue erlaubte Angreifern, Zugriff auf Salesforce-CRM-Daten von Unternehmenskunden zu erhalten und diese für Erpressung zu missbrauchen.
Die Market-Intelligence-Plattform Klue wurde über eine OAuth-Schwachstelle kompromittiert, die Angreifern der Gruppe „Icarus" Zugriff auf Salesforce-CRM-Daten mehrerer Organisationen ermöglichte. Der Vorfall ist Teil einer laufenden Erpressungskampagne.
Die Angreifer nutzten die OAuth-Schwachstelle in Klue aus, um sich als autorisierte Drittanwendung gegenüber Salesforce auszugeben und dadurch auf CRM-Systeme von Klue-Kunden zuzugreifen. Dies ist eine gängige Angriffsmethode, bei der Integritätslücken in der SSO-/API-Authentifizierung (Single Sign-On) zum Datenzugriff missbraucht werden. Die Täter konnten damit Kundendaten direkt aus Salesforce-Instanzen abziehen.
Für CISOs ist dieses Szenario besonders relevant, da es die Risiken von Third-Party-Integritätslücken unterstreicht: Selbst wenn das eigene Salesforce-System sicher ist, kann eine kompromittierte Zweitanwendung mit OAuth-Berechtigung als Einfallstor dienen. Die Angreifer benötigten keinen direkten Zugang zu Kundenumgebungen, sondern nutzten das Vertrauen, das Salesforce der legitimen Klue-Integration entgegenbringt.
Die Gruppe „Icarus“ setzt diese gestohlenen Daten zur Erpressung ein – typisch für Doppelpressung-Szenarien, bei denen Angreifer sowohl Datenveröffentlichung als auch Ransom drohen. CISOs sollten überprüfen, ob ihre Organisationen Klue nutzen oder genutzt haben, und prüfen, welche OAuth-Berechtigungen für Third-Party-Tools aktiviert sind. Eine Revokation ungenutzter oder verdächtiger API-Keys und Token ist ein Erste-Hilfe-Maßnahme.
Quelle: www.bleepingcomputer.com · Erschienen 18. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.