Klue biztonsági közlemény
A Klue SaaS platform biztonsági közleménye szerint 2026. június 12-én illetéktelen hozzáférést észleltek az integrációs infrastruktúrájukban. A támadók egy régi, még aktív hitelesítő adat felhasználásával jutottak be, majd módosított kódot telepítettek, amely ügyféloldali OAuth tokenek gyűjtésére szolgált. Ezekkel a tokenekkel több szervezet Salesforce-környezetéhez fértek hozzá, ahol üzleti CRM-adatokat – kapcsolattartói információkat, értékesítési lehetőségeket, szerződéses és kommunikációs adatokat – tudtak lekérdezni. A történtek nem a Salesforce sérülékenységéből fakadtak, hanem egy megbízható harmadik fél integrációjának kompromittálásából, ami tipikus SaaS ellátási lánc támadásnak tekinthető.
A Klue a rendellenesség észlelését követően megszüntette a támadók hozzáférését, visszavonta az OAuth hitelesítő adatokat, valamint ideiglenesen letiltotta többek között a Salesforce, HubSpot, Slack, Google Drive, Zoom, Gong és SharePoint integrációkat. Az incidens kivizsgálásába külső szakértőket is bevontak, miközben az érintett ügyfelek saját vizsgálatot indítottak. Több ismert kiberbiztonsági vállalat – köztük a Recorded Future, Huntress, Jamf és Tanium – megerősítette, hogy CRM-adatokhoz történt jogosulatlan hozzáférés, ugyanakkor nem találtak bizonyítékot termékeik, belső infrastruktúrájuk vagy ügyfélvédelmi rendszereik kompromittálására. A hosszú élettartamú OAuth tokenek és a széles jogosultságú SaaS integrációk egyre vonzóbb célpontot jelentenek a támadók számára, ezért ezek rendszeres felülvizsgálata, a tokenek rotációja, az integrációk naplózásának ellenőrzése és a külső alkalmazások jogosultságainak minimalizálása alapvető védelmi intézkedéssé vált.
