Salesforce ha revelado que deshabilitó la integración de la aplicación Klue Battlecards dentro de su plataforma en respuesta a un incidente de seguridad que afectó a la empresa de inteligencia competitiva el 11 de junio de 2026.
Como resultado, las organizaciones ya no podrán conectarse a Salesforce a través de la aplicación hasta nuevo aviso, dijo la compañía estadounidense de software basado en la nube en una advertencia emitida esta semana.
«Salesforce tomó esta medida porque nuestro equipo de seguridad detectó recientemente una actividad inusual en la aplicación que puede haber dado lugar a un acceso no autorizado a un subconjunto de datos de clientes a través de la conexión de la aplicación a Salesforce». «Este problema se limita a la conectividad de la aplicación Klue y no es causado por una vulnerabilidad dentro de la plataforma Salesforce».
El desarrollo se produce cuando un grupo de extorsión llamado Icarus violó y filtró datos de los clientes de Crewe, incluida la empresa de ciberseguridad Huntress.
«Los datos copiados de las cuentas de Salesforce incluyen contactos de cuentas, cotizaciones de precios y otros datos y mensajes relacionados con las ventas», dijo Huntress. «Ningún dato de amenazas, contraseñas, información de tarjetas de pago, datos de ingeniería relacionados con los agentes de Huntress o la telemetría recopilada por nosotros se vieron afectados».
En su propia actualización, Klue dijo que detectó actividad no autorizada que afectó parte de la infraestructura de integración de Klue el 12 de junio de 2026, y agregó que los atacantes obtuvieron acceso comprometiendo credenciales heredadas relacionadas con los servicios de integración.
«Los atacantes utilizaron ese acceso para obtener tokens OAuth utilizados para conectar Klue a ciertas plataformas de terceros, como Salesforce, y luego accedieron a datos dentro de numerosos entornos de clientes conectados», dijo el director ejecutivo de Klue, Jason Smith, en un comunicado. «Según nuestra investigación hasta la fecha, este incidente se limita a las plataformas de terceros afectadas y no hay evidencia de que el contenido del cliente almacenado en la plataforma Klue se haya visto afectado».
Específicamente, la infracción supuestamente permitió a los atacantes impulsar una actualización de código que les permitió recopilar tokens OAuth que los clientes usaban para conectar Klue a sus sistemas. En respuesta a esta infracción, Klue tomó medidas que incluyeron revocar las credenciales y tokens afectados, eliminar código malicioso, suspender el acceso remoto, deshabilitar integraciones potencialmente afectadas e iniciar una investigación exhaustiva.
El 16 de junio de 2026, algunos empleados de Huntress recibieron un correo electrónico con el asunto «Correo electrónico confidencial» y la advertencia: «Sus datos de Salesforce han sido descargados… Tiene 48 horas para contactarnos. Tome la decisión correcta».
«Los actores de amenazas parecen haber aprovechado credenciales extintas pero aún válidas para realizar la infracción inicial. Estas credenciales fueron creadas originalmente por Klue para crear prototipos de integraciones de terceros y luego fueron abandonadas», dijo la compañía. «Luego, los atacantes comprometieron la infraestructura de Klue, robaron tokens utilizados por los clientes de Klue y luego usaron las credenciales robadas para consultar directamente las herramientas CRM de esos clientes, y finalmente extrajeron datos».
No se sabe mucho sobre el actor de Ícaro aparte del hecho de que ha estado activo desde el 28 de abril de 2026 y ha cobrado un total de dos víctimas hasta ahora. Sin embargo, esta campaña de robo de datos refleja oleadas anteriores de ataques lanzados por ShinyHunters y UNC6395.
En su propio análisis del exploit de integración de Klue, ReliaQuest dijo que la actividad tiene similitudes con los manuales de explotación de OAuth de terceros asociados con las infracciones de Salesloft Drift y Gainsight que apuntaron a entornos de Salesforce el año pasado.
«En los ataques que observamos, el atacante primero se autenticó a través de una cuenta de servicio de integración Klue comprometida, generó un token OAuth y ejecutó un script Python automatizado (identificable por la cadena de agente de usuario Python-urllib)», dijeron los investigadores de ReliaQuest Thassanai McCabe y Alexa Feminella.
«Estos scripts primero enumeraron el catálogo de objetos de la organización a través de GET /services/data/v59.0/sobjects, luego realizaron un bucle de consultas de API REST contra el punto final de consulta de Salesforce (/services/data/v59.0/query), paginando los resultados a través de cursores QueryMore durante casi 24 horas».
Estas se evalúan como acciones de recuperación masiva de datos diseñadas para recuperar grandes cantidades de registros de CRM a través de la API REST de Salesforce. Esto incluyó «ráfagas» de casi 1000 consultas en 15 minutos contra al menos un entorno y, en otros casos, ventanas de extracción que duraron más de 6 horas.
No está claro cuántos clientes de Salesforce se vieron afectados por el ataque, pero Crews dijo que la compañía está en contacto directo con los clientes afectados para compartir hallazgos y ayudar con los esfuerzos de respuesta.
«El denominador común es el uso indebido de tokens OAuth o credenciales de proveedores externos confiables», dijo ReliaQuest. «Estas integraciones son identidades no humanas con acceso persistente y generalizado a datos confidenciales, pero generalmente son mucho menos monitoreadas que las cuentas de los empleados. Esta brecha es la razón por la cual se pueden ejecutar bucles de consultas automatizadas las 24 horas desde cuentas de integración ‘confiables’ sin activar las alarmas normales».
Source link
