Salesforce отключает интеграцию Klue после утечки данных из-за злоумышленников

Salesforce отключил интеграцию приложения Klue Battlecards в своей платформе после обнаружения необычной активности, которая могла привести к несанкционированному доступу к части клиентских данных через соединение с приложением. Американская облачная компания подчеркнула, что проблема не связана с уязвимостью в её платформе, а возникла из-за компрометации токенов авторизации в экосистеме интеграции Klue.

Инцидент стал частью более масштабной атаки, в результате которой группа extortion Icarus получила доступ к данным клиентов Klue, включая компанию Huntress, специализирующуюся на кибербезопасности. По данным Huntress, скомпрометированные данные включали бизнес-контакты, прайс-листы и другую коммерческую информацию, но не затрагивали данные аутентификации, платёжную информацию или технические данные их агентов. В то же время Klue заявил, что несанкционированная активность была обнаружена 12 июня 2026 года, и злоумышленники получили доступ через устаревшие учётные данные интеграционного сервиса, что позволило им получить OAuth-токены для доступа к сторонним платформам, включая Salesforce.

Почему Salesforce пришлось отключить Klue Battlecards

Salesforce официально заявил, что отключение интеграции Klue Battlecards является временной мерой безопасности до завершения расследования. В компании подчеркнули, что необычная активность была зафиксирована в рамках мониторинга безопасности, и это могло привести к несанкционированному доступу к части клиентских данных через соединение с приложением. Важно, что платформа Salesforce не содержит уязвимости, а проблема возникла на стороне экосистемы интеграции Klue.

Этот инцидент подчеркнул риски, связанные с использованием сторонних интеграций в корпоративных системах. Многие компании полагаются на приложения, которые расширяют функциональность платформ, но такие интеграции становятся привлекательной мишенью для злоумышленников. Salesforce, как крупнейший игрок на рынке CRM, вынужден оперативно реагировать на подобные угрозы, чтобы защитить данные своих клиентов.

Для пользователей Salesforce это означает временную потерю доступа к функциональности Klue Battlecards, что может повлиять на процессы работы с клиентскими данными и аналитикой. Компании, использующие эту интеграцию, должны быть готовы к возможным сбоям и искать альтернативные решения на время расследования.

Как злоумышленники получили доступ к данным через OAuth

По данным Klue, несанкционированная активность была обнаружена 12 июня 2026 года. Злоумышленники получили доступ к части инфраструктуры интеграции Klue через скомпрометированные устаревшие учётные данные, связанные с интеграционным сервисом. Это позволило им получить OAuth-токены, которые использовались для подключения Klue к сторонним платформам, включая Salesforce.

OAuth — это стандартный протокол авторизации, который позволяет приложениям получать ограниченный доступ к учётным записям пользователей без передачи их учётных данных. Однако, если токены авторизации скомпрометированы, злоумышленники могут использовать их для доступа к данным в рамках разрешённых интеграций. В данном случае атакующие смогли получить токены, которые использовались для доступа к данным клиентов в их собственных средах.

Компания Klue заявила, что инцидент был ограничен сторонними платформами, и нет доказательств того, что данные клиентов, хранившиеся внутри платформы Klue, были скомпрометированы. Тем не менее, последствия атаки оказались значительными, так как угрозы получили доступ к коммерческим данным клиентов, включая бизнес-контакты и прайс-листы.

Атака группы Icarus и её последствия для клиентов Klue

Группа extortion Icarus, как сообщается, скомпрометировала данные клиентов Klue и начала их вымогать. Huntress, одна из пострадавших компаний, подтвердила, что получила письмо с угрозой о том, что их данные из Salesforce были загружены, и им дано 48 часов для выполнения требований злоумышленников. В письме не содержалось конкретных требований, но угрозы такого рода обычно связаны с вымогательством.

Huntress также уточнила, что скомпрометированные данные не включали критически важную информацию, такую как пароли, данные платёжных карт или инженерные данные их агентов. Это означает, что основной ущерб связан с потерей конфиденциальности коммерческой информации, что может повлиять на конкурентные преимущества компании и её отношения с клиентами.

Для Klue последствия атаки оказались серьёзными: компании пришлось отозвать скомпрометированные учётные данные и токены, удалить несанкционированный код, остановить удалённый доступ и отключить потенциально скомпрометированные интеграции. Также была запущена комплексная проверка инфраструктуры для выявления и устранения возможных уязвимостей.

Механизм атаки: как злоумышленники использовали OAuth-токены

По данным расследования, злоумышленники получили доступ к инфраструктуре Klue через скомпрометированные устаревшие учётные данные. Это позволило им получить OAuth-токены, которые использовались для подключения Klue к сторонним платформам. Затем атакующие смогли внедрить обновление кода, способное собирать OAuth-токены, которые клиенты Klue используют для подключения к своим собственным системам.

Таким образом, угрозы получили возможность собирать токены авторизации, которые предоставляют доступ к данным клиентов в их собственных средах. Это создало цепочку заражений, так как скомпрометированные токены позволяли получить доступ к данным в Salesforce и других интегрированных платформах.

Klue заявил, что на данный момент нет доказательств того, что данные клиентов, хранившиеся внутри платформы Klue, были скомпрометированы. Однако последствия атаки всё равно оказались значительными, так как угрозы получили доступ к коммерческим данным клиентов, включая бизнес-контакты и прайс-листы.

Что должны сделать компании, использующие сторонние интеграции

Инцидент с Klue и Salesforce демонстрирует риски, связанные с использованием сторонних интеграций в корпоративных системах. Компании должны пересмотреть свои подходы к безопасности интеграций и принять меры для минимизации рисков.

Во-первых, необходимо регулярно проверять и обновлять учётные данные, особенно устаревшие и неиспользуемые. Во-вторых, следует ограничить доступ интеграций к данным только тем, что действительно необходимо для их работы. В-третьих, компании должны мониторить активность интеграций и оперативно реагировать на подозрительные действия.

Также важно использовать многофакторную аутентификацию (MFA) для всех учётных записей, связанных с интеграциями, и регулярно проводить аудит разрешений и токенов. Если интеграция больше не используется, её следует немедленно отключить, чтобы исключить потенциальные точки входа для злоумышленников.

Как Salesforce и Klue реагируют на инцидент

Salesforce оперативно отключил интеграцию Klue Battlecards, чтобы предотвратить дальнейшую утечку данных. Компания заявила, что продолжает расследование и будет информировать клиентов о результатах. Klue также предпринял шаги для минимизации последствий атаки: отозвал скомпрометированные учётные данные и токены, удалил несанкционированный код и остановил удалённый доступ.

Обе компании подчеркнули, что инцидент не связан с уязвимостями в их платформах, а возник из-за компрометации сторонних учётных данных. Тем не менее, такой инцидент подчеркнул необходимость усиления мер безопасности в экосистемах интеграций. Salesforce и Klue работают над устранением последствий и восстановлением доверия клиентов.

Для пользователей Salesforce это означает временные неудобства, так как интеграция Klue Battlecards недоступна до завершения расследования. Компаниям, зависящим от этой интеграции, следует быть готовыми к возможным сбоям и искать альтернативные решения.

Какие уроки можно извлечь из этого инцидента

Инцидент с Klue и Salesforce — это напоминание о том, что безопасность в облачных экосистемах зависит не только от платформы, но и от безопасности всех связанных интеграций. Злоумышленники часто используют слабые места в цепочках интеграций для получения доступа к данным.

Компаниям следует уделять больше внимания безопасности сторонних приложений и интеграций, регулярно проводить аудит разрешений и токенов, а также оперативно реагировать на подозрительную активность. Также важно обучать сотрудников основам кибербезопасности, чтобы они могли распознавать потенциальные угрозы и сообщать о них.

Для поставщиков платформ, таких как Salesforce, это сигнал о необходимости усиления контроля за сторонними интеграциями и предоставления клиентам более прозрачных инструментов для мониторинга активности. Только совместными усилиями можно минимизировать риски подобных инцидентов в будущем.

Что ждать дальше и как подготовиться

На данный момент Salesforce и Klue продолжают расследование, и пока неясно, когда интеграция Klue Battlecards будет восстановлена. Компаниям, использующим эту интеграцию, следует быть готовыми к временным сбоям и заранее продумать резервные варианты.

Также стоит ожидать, что аналогичные инциденты будут привлекать внимание регуляторов и индустрии в целом. Возможно, в ближайшие месяцы появятся новые рекомендации и стандарты безопасности для интеграций в облачных платформах.

Для пользователей Salesforce и клиентов Klue важно оставаться в курсе новостей и следовать рекомендациям компаний по безопасности. Если вы получили подозрительное письмо или уведомление о возможной утечке данных, немедленно свяжитесь с отделом безопасности вашей компании и примите меры для защиты данных.