Klue: Plataforma de Inteligência Competitiva Sofre Ataque e Expõe Dados de Empresas de Cibersegurança
A plataforma de inteligência competitiva Klue confirmou uma violação de segurança que resultou no roubo de tokens OAuth e na subsequente exfiltração de dados de CRM de pelo menos nove organizações proeminentes no setor de cibersegurança. O incidente levanta preocupações sobre o uso indevido de informações corporativas roubadas.
MundiX News·24 de junho de 2026·4 min de leitura·👁 2 views
A Klue, uma plataforma de inteligência competitiva amplamente utilizada, confirmou recentemente que sua infraestrutura foi comprometida em um ataque cibernético. Os invasores conseguiram roubar tokens OAuth que o produto Klue Battlecards utilizava para se conectar ao Salesforce, resultando na exfiltração de dados de CRM de pelo menos nove organizações. Entre as empresas afetadas estão nomes conhecidos no cenário de cibersegurança, como HackerOne, Huntress, Jamf, OneTrust, Recorded Future, Snyk, Tanium, Insurity e Sprout Social.
A atividade suspeita foi detectada pela primeira vez em 12 de junho de 2026. Uma investigação subsequente revelou que os atacantes obtiveram acesso aos sistemas da Klue através de credenciais comprometidas de um serviço de integração obsoleto. Segundo analistas da Huntress, tratava-se de uma conta ativa, criada para um protótipo de integração, mas que não era mais utilizada há algum tempo. Uma vez dentro da infraestrutura da Klue, os invasores injetaram código malicioso e roubaram tokens OAuth válidos dos clientes. Essa técnica permitiu que eles se conectassem diretamente às instâncias do Salesforce associadas sem a necessidade de roubar senhas. A Klue enfatizou que os dados armazenados diretamente em sua plataforma não foram afetados, e o ataque se limitou às integrações de terceiros.
Pesquisadores da ReliaQuest observaram que os hackers também emitiram novos tokens OAuth e utilizaram scripts Python para interagir com a API REST do Salesforce por quase 24 horas. Inicialmente, os atacantes exploraram a estrutura do CRM para identificar dados de interesse antes de iniciar a exfiltração rápida. Em um caso notável, os hackers enviaram cerca de mil requisições em apenas 15 minutos, culminando em uma extensa coleta de dados através do acesso às plataformas Salesforce das vítimas. Após a descoberta do ataque, a equipe da Klue agiu prontamente, revogando as credenciais e tokens comprometidos, removendo o código malicioso e desativando as integrações afetadas. Conexões com outras plataformas como HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive e Slack foram temporariamente desativadas. A CrowdStrike e as autoridades policiais foram acionadas para auxiliar na investigação.
As informações roubadas incluíam nomes, endereços de e-mail, cargos, números de telefone, endereços de trabalho, detalhes de contas, comunicações com equipes de vendas, propostas comerciais e relatórios de concorrentes. As empresas afetadas, incluindo Gong, garantiram que dados sensíveis como gravações de chamadas e suas transcrições não foram acessados. Especialistas da Huntress confirmaram que dados de telemetria de clientes, senhas, dados de cartões bancários e sistemas de engenharia permaneceram seguros. Acredita-se que o grupo de ransomware Icarus, ativo desde abril de 2026, seja o responsável pelo ataque, conforme reportado pelo Bleeping Computer. O grupo já admitiu a autoria e ameaça divulgar as informações roubadas caso as negociações não sejam iniciadas. As empresas alertam que os dados de contato corporativos roubados podem ser utilizados para campanhas de phishing, ataques de engenharia social e futuras tentativas de chantagem.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A Klue, uma plataforma de inteligência competitiva amplamente utilizada, confirmou recentemente que sua infraestrutura foi comprometida em um ataque cibernético. Os invasores conseguiram roubar tokens OAuth que o produto Klue Battlecards utilizava para se conectar ao Salesforce, resultando na exfiltração de dados de CRM de pelo menos nove organizações. Entre as empresas afetadas estão nomes conhecidos no cenário de cibersegurança, como HackerOne, Huntress, Jamf, OneTrust, Recorded Future, Snyk, Tanium, Insurity e Sprout Social.
A atividade suspeita foi detectada pela primeira vez em 12 de junho de 2026. Uma investigação subsequente revelou que os atacantes obtiveram acesso aos sistemas da Klue através de credenciais comprometidas de um serviço de integração obsoleto. Segundo analistas da Huntress, tratava-se de uma conta ativa, criada para um protótipo de integração, mas que não era mais utilizada há algum tempo. Uma vez dentro da infraestrutura da Klue, os invasores injetaram código malicioso e roubaram tokens OAuth válidos dos clientes. Essa técnica permitiu que eles se conectassem diretamente às instâncias do Salesforce associadas sem a necessidade de roubar senhas. A Klue enfatizou que os dados armazenados diretamente em sua plataforma não foram afetados, e o ataque se limitou às integrações de terceiros.
Pesquisadores da ReliaQuest observaram que os hackers também emitiram novos tokens OAuth e utilizaram scripts Python para interagir com a API REST do Salesforce por quase 24 horas. Inicialmente, os atacantes exploraram a estrutura do CRM para identificar dados de interesse antes de iniciar a exfiltração rápida. Em um caso notável, os hackers enviaram cerca de mil requisições em apenas 15 minutos, culminando em uma extensa coleta de dados através do acesso às plataformas Salesforce das vítimas. Após a descoberta do ataque, a equipe da Klue agiu prontamente, revogando as credenciais e tokens comprometidos, removendo o código malicioso e desativando as integrações afetadas. Conexões com outras plataformas como HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive e Slack foram temporariamente desativadas. A CrowdStrike e as autoridades policiais foram acionadas para auxiliar na investigação.
As informações roubadas incluíam nomes, endereços de e-mail, cargos, números de telefone, endereços de trabalho, detalhes de contas, comunicações com equipes de vendas, propostas comerciais e relatórios de concorrentes. As empresas afetadas, incluindo Gong, garantiram que dados sensíveis como gravações de chamadas e suas transcrições não foram acessados. Especialistas da Huntress confirmaram que dados de telemetria de clientes, senhas, dados de cartões bancários e sistemas de engenharia permaneceram seguros. Acredita-se que o grupo de ransomware Icarus, ativo desde abril de 2026, seja o responsável pelo ataque, conforme reportado pelo Bleeping Computer. O grupo já admitiu a autoria e ameaça divulgar as informações roubadas caso as negociações não sejam iniciadas. As empresas alertam que os dados de contato corporativos roubados podem ser utilizados para campanhas de phishing, ataques de engenharia social e futuras tentativas de chantagem.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
