Thought Leadership
Salesforce sperrt die Integration der App Klue Battlecards. Die Erpressergruppe Icarus erbeutete über gestohlene OAuth-Token sensible Kundendaten.
Salesforce hat die Integration der Anwendung Klue Battlecards auf seiner Plattform deaktiviert. Hintergrund ist ein Sicherheitsvorfall bei dem Wettbewerbsanalysten Klue am 11. Juni 2026. Das Cloud-Unternehmen stellte ungewöhnliche Aktivitäten fest, die zu einem unbefugten Zugriff auf Kundendaten führten. Das Problem liegt laut Salesforce ausschließlich bei der App-Verbindung und nicht an einer Schwachstelle der eigenen Plattform. Betroffen ist unter anderem das Cybersicherheitsunternehmen Huntress, aus dessen CRM-Konto Geschäftskontakte, Preisangebote und vertriebsrelevante Nachrichten kopiert wurden. Passwörter oder Kreditkartendaten wurden laut Unternehmensangaben nicht kompromittiert.
Die Vorgehensweise der Erpressergruppe Icarus
Die Angriffe werden einer Erpressergruppe namens Icarus zugeschrieben, die seit Ende April 2026 aktiv ist. Die Hacker nutzten ein ungenutztes, aber noch aktives Alt-Zertifikat von Klue, das ursprünglich für den Prototyp einer später abgebrochenen Drittanbieter-Integration erstellt worden war. Über diesen Zugang drangen die Täter in die Infrastruktur von Klue ein und entwendeten die OAuth-Token der Kunden. Klue-Chef Jason Smith erklärte zu dem Vorfall:
„Der Angreifer nutzte diesen Zugriff, um OAuth-Token zu erlangen, die zur Verbindung von Klue mit bestimmten Plattformen von Drittanbietern, einschließlich Salesforce, verwendet werden, und griff anschließend auf Daten in einer Reihe von verbundenen Kundenumgebungen zu.“
Jason Smith, Klue-Chef
Automatisierte Datenextraktion und Erpressung von Salesforce-Kunden
Nach Erkenntnissen des Sicherheitsunternehmens ReliaQuest setzten die Hacker automatisierte Python-Skripte ein, um fast 24 Stunden lang Datenabfragen über die offizielle Programmierschnittstelle von Salesforce durchzuführen. In einer Phase wurden innerhalb von 15 Minuten fast tausend Abfragen gestartet, um Kundendaten massenhaft abzurufen. Am 16. Juni 2026 erhielten Mitarbeiter von betroffenen Unternehmen Erpresser-E-Mails mit einer Zahlungsfrist von 48 Stunden. Klue hat die betroffenen Zertifikate und Token widerrufen, den unbefugten Code entfernt und eine Untersuchung eingeleitet.
(red)
