À la suite d’une attaque OAuth chez Klue, des données CRM ont été dérobées dans des environnements Salesforce.
La plateforme d’intelligence de marché Klue a été victime d’une faille OAuth, au cours de laquelle l’acteur de menace Icarus a volé des données CRM dans des environnements Salesforce. Les entreprises utilisant l’intégration Klue Battlecards ont reçu des e-mails d’extorsion de la part de l’alias « mr bean ».
L’attaque a été révélée lorsque plusieurs organisations ont signalé le vol de leurs données Salesforce. Les cabinets de recherche ReliaQuest et Huntress ont confirmé la faille, Huntress admettant même en être également victime.
Comment les attaquants ont procédé
Les attaquants ont accédé au service d’intégration Klue Battlecards et ont utilisé des jetons OAuth liés à des instances Salesforce spécifiques aux clients. À l’aide de scripts Python automatisés, ils ont parcouru l’API REST de Salesforce pendant près de 24 heures. Ils ont d’abord effectué des reconnaissances via le point de terminaison « /services/data/v59.0/sobjects », pour ensuite exfiltrer des données via « /services/data/v59.0/query ».
Dans une organisation, les attaquants ont effectué près de mille requêtes en l’espace de 15 minutes. ReliaQuest note que l’activité ressemblait fortement aux schémas d’attaque précédents de ShinyHunters, mais le véritable coupable s’est avéré être le nouveau groupe Icarus.
Approche et conséquences
Salesforce a désactivé l’intégration Klue Battlecards par mesure de précaution. Klue a, à son tour, désactivé les intégrations avec Salesforce, HubSpot, SharePoint, Zoom et d’autres plateformes. Les données dérobées comprennent notamment des informations CRM, des communications commerciales et des devis.
Il est conseillé aux organisations utilisant les intégrations Klue de vérifier leurs journaux Salesforce et SaaS pour détecter toute activité provenant d’adresses IP spécifiques, de révoquer les jetons OAuth et de mettre fin aux sessions actives.
Icarus, actif depuis avril 2026, a déjà répertorié deux victimes sur son site de fuite de données. Le groupe semble cibler les grandes entreprises, avec un message d’avertissement : « big corps getting listed. be ready. »