Hackers Comprometem Cinco Gigantes de Cibersegurança Através da Plataforma Klue
Uma brecha na plataforma Klue permitiu que hackers roubassem dados de pelo menos cinco proeminentes empresas de cibersegurança, incluindo Huntress, ReliaQuest e Recorded Future. Os atacantes exploraram credenciais antigas para acessar tokens OAuth, obtendo acesso a ambientes de clientes via Salesforce.
MundiX News·24 de junho de 2026·4 min de leitura·👁 1 views
Pelo menos cinco empresas líderes em segurança da informação foram vítimas de roubo de dados do Salesforce após a infraestrutura da Klue ser comprometida. Entre as afetadas estão Huntress, ReliaQuest, Recorded Future, Jamf e Tanium. Sprout Social, Gong e Insurity também relataram vazamentos de dados, conforme noticiado pelo BleepingComputer.
A Klue detectou atividade não autorizada em 12 de junho. Os hackers conseguiram acesso à infraestrutura da plataforma explorando credenciais desatualizadas e comprometidas associadas a um serviço de integração. Uma vez dentro, os atacantes roubaram tokens OAuth, que os clientes utilizam para conectar a Klue a serviços de terceiros, incluindo o Salesforce. Posteriormente, os invasores obtiveram acesso a vários ambientes de clientes, conforme comunicado pela Klue.
A empresa afirmou que o ataque afetou integrações externas. Até o momento, a investigação não encontrou evidências de acesso ao conteúdo que os clientes armazenam diretamente na plataforma Klue. Em resposta, a Klue revogou as credenciais e tokens comprometidos, removeu o código não autorizado, desativou parte das integrações, notificou as autoridades e contratou a CrowdStrike para auxiliar na investigação.
Tokens OAuth permitem que serviços se conectem a sistemas corporativos sem a necessidade de inserção constante de senhas. Os invasores utilizaram os tokens roubados para acessar contas do Salesforce e extrair registros do CRM através da API. Especialistas da ReliaQuest registraram a operação de scripts automatizados por quase 24 horas. Em um dos ambientes de clientes, os scripts enviaram aproximadamente mil requisições ao Salesforce em um período de 15 minutos.
A Huntress relatou o roubo de contatos comerciais, propostas comerciais, correspondências com clientes e outros registros do Salesforce. A empresa não encontrou evidências de acesso a dados de ameaças, senhas, informações de pagamento ou sistemas de engenharia. Quase todas as vítimas conhecidas declararam que o ataque não afetou suas próprias plataformas, infraestrutura interna ou dados de pagamento.
O grupo Icarus assumiu a responsabilidade pelo ataque e ofereceu à Klue e às empresas afetadas a oportunidade de entrar em contato através do messenger Session para evitar a publicação dos dados roubados. A Huntress conectou o ataque ao Icarus através de identificadores do Session presentes em e-mails de extorsão e em registros em sites de vazamento. As empresas alertaram que os contatos roubados podem ser utilizados para campanhas de phishing, engenharia social e novas exigências de resgate.
O Salesforce desativou a integração Klue Battlecards durante o período de investigação. A empresa enfatizou que o acesso aos dados ocorreu através da conexão da Klue, e não devido a uma vulnerabilidade no próprio Salesforce.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pelo menos cinco empresas líderes em segurança da informação foram vítimas de roubo de dados do Salesforce após a infraestrutura da Klue ser comprometida. Entre as afetadas estão Huntress, ReliaQuest, Recorded Future, Jamf e Tanium. Sprout Social, Gong e Insurity também relataram vazamentos de dados, conforme noticiado pelo BleepingComputer.
A Klue detectou atividade não autorizada em 12 de junho. Os hackers conseguiram acesso à infraestrutura da plataforma explorando credenciais desatualizadas e comprometidas associadas a um serviço de integração. Uma vez dentro, os atacantes roubaram tokens OAuth, que os clientes utilizam para conectar a Klue a serviços de terceiros, incluindo o Salesforce. Posteriormente, os invasores obtiveram acesso a vários ambientes de clientes, conforme comunicado pela Klue.
A empresa afirmou que o ataque afetou integrações externas. Até o momento, a investigação não encontrou evidências de acesso ao conteúdo que os clientes armazenam diretamente na plataforma Klue. Em resposta, a Klue revogou as credenciais e tokens comprometidos, removeu o código não autorizado, desativou parte das integrações, notificou as autoridades e contratou a CrowdStrike para auxiliar na investigação.
Tokens OAuth permitem que serviços se conectem a sistemas corporativos sem a necessidade de inserção constante de senhas. Os invasores utilizaram os tokens roubados para acessar contas do Salesforce e extrair registros do CRM através da API. Especialistas da ReliaQuest registraram a operação de scripts automatizados por quase 24 horas. Em um dos ambientes de clientes, os scripts enviaram aproximadamente mil requisições ao Salesforce em um período de 15 minutos.
A Huntress relatou o roubo de contatos comerciais, propostas comerciais, correspondências com clientes e outros registros do Salesforce. A empresa não encontrou evidências de acesso a dados de ameaças, senhas, informações de pagamento ou sistemas de engenharia. Quase todas as vítimas conhecidas declararam que o ataque não afetou suas próprias plataformas, infraestrutura interna ou dados de pagamento.
O grupo Icarus assumiu a responsabilidade pelo ataque e ofereceu à Klue e às empresas afetadas a oportunidade de entrar em contato através do messenger Session para evitar a publicação dos dados roubados. A Huntress conectou o ataque ao Icarus através de identificadores do Session presentes em e-mails de extorsão e em registros em sites de vazamento. As empresas alertaram que os contatos roubados podem ser utilizados para campanhas de phishing, engenharia social e novas exigências de resgate.
O Salesforce desativou a integração Klue Battlecards durante o período de investigação. A empresa enfatizou que o acesso aos dados ocorreu através da conexão da Klue, e não devido a uma vulnerabilidade no próprio Salesforce.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
