Um Token Salesforce Esquecido Abriu as Portas para o Ataque a uma Dezena das Maiores Empresas
Um único token OAuth esquecido em uma integração da plataforma Klue permitiu que hackers acessassem dados confidenciais de diversas empresas de grande porte, incluindo Huntress e Recorded Future. O grupo Icarus reivindicou a autoria do ataque, explorando credenciais antigas para extrair informações valiosas.
MundiX News·23 de junho de 2026·6 min de leitura·👁 2 views
Uma falha de segurança aparentemente pequena, um token de acesso OAuth esquecido em uma integração da plataforma Klue, desencadeou uma série de ataques cibernéticos que comprometeram as contas Salesforce de várias empresas de renome. A lista de organizações afetadas inclui nomes como Huntress, Recorded Future, Tanium e Jamf, com o número de vítimas ainda em crescimento. O grupo de ransomware Icarus assumiu a responsabilidade pelo ataque, exigindo contato através do aplicativo de mensagens Session para evitar a divulgação dos dados roubados.
A atividade maliciosa foi detectada inicialmente em 12 de junho. Investigações posteriores revelaram que os atacantes exploraram credenciais antigas e comprometidas associadas ao serviço de integração da Klue. Essa brecha permitiu o acesso a tokens OAuth, que funcionam como chaves digitais para a comunicação entre diferentes serviços. Com esses tokens em mãos, os invasores conseguiram penetrar nos ambientes Salesforce de múltiplos clientes, com o objetivo de examinar e exfiltrar dados de diversas contas.
A Klue emitiu um comunicado afirmando que não encontrou evidências de acesso direto à informação armazenada em sua própria plataforma, indicando que o ataque se limitou às integrações de terceiros. Em resposta, a empresa revogou as credenciais e tokens comprometidos, removeu qualquer código não autorizado, desativou as conexões afetadas, iniciou uma investigação interna e notificou as autoridades competentes. Especialistas em cibersegurança da CrowdStrike também foram acionados para auxiliar na análise do incidente.
Os primeiros indícios da exfiltração em massa de dados foram identificados por especialistas em cibersegurança que investigavam o funcionamento das integrações Klue Battlecards. Os atacantes utilizaram as credenciais OAuth roubadas para acessar as instâncias Salesforce dos clientes da Klue. Posteriormente, os invasores criaram novos tokens de acesso e empregaram scripts em Python para realizar um grande volume de requisições à API do Salesforce ao longo de horas, extraindo extensas quantidades de informação.
Entre as vítimas confirmadas está a Huntress, que relatou o roubo de contatos comerciais, conversas do departamento de vendas, informações de precificação e outros registros de sua conta Salesforce. Posteriormente, outras empresas como Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity também informaram sobre o comprometimento de seus ambientes Salesforce. A maioria dessas organizações ressaltou que a violação se restringiu aos dados contidos no Salesforce, sem afetar suas plataformas internas, infraestrutura principal, informações de pagamento ou sistemas corporativos essenciais. No entanto, os dados extraídos podem incluir nomes, endereços de e-mail corporativos, números de telefone, detalhes de negociações e informações comerciais confidenciais.
O grupo Icarus declarou publicamente ter roubado dados não apenas da Klue, mas também de várias empresas conectadas à plataforma. Antes mesmo da declaração oficial, a gangue já era associada a ataques de e-mail de extorsão recebidos pelas organizações afetadas. A conexão foi confirmada através de identificadores encontrados no aplicativo Session e no site utilizado pela Icarus para divulgar dados roubados.
As empresas afetadas estão alertando seus clientes e parceiros sobre o risco elevado de ataques subsequentes de phishing, chamadas telefônicas fraudulentas simulando ser funcionários da empresa, tentativas de engenharia social e novas exigências de resgate. As informações obtidas do Salesforce conferem aos atacantes a capacidade de criar mensagens altamente convincentes, mencionando negociações reais, contatos de colegas, preços de produtos e estágios de conversas comerciais, aumentando a probabilidade de sucesso dessas táticas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Uma falha de segurança aparentemente pequena, um token de acesso OAuth esquecido em uma integração da plataforma Klue, desencadeou uma série de ataques cibernéticos que comprometeram as contas Salesforce de várias empresas de renome. A lista de organizações afetadas inclui nomes como Huntress, Recorded Future, Tanium e Jamf, com o número de vítimas ainda em crescimento. O grupo de ransomware Icarus assumiu a responsabilidade pelo ataque, exigindo contato através do aplicativo de mensagens Session para evitar a divulgação dos dados roubados.
A atividade maliciosa foi detectada inicialmente em 12 de junho. Investigações posteriores revelaram que os atacantes exploraram credenciais antigas e comprometidas associadas ao serviço de integração da Klue. Essa brecha permitiu o acesso a tokens OAuth, que funcionam como chaves digitais para a comunicação entre diferentes serviços. Com esses tokens em mãos, os invasores conseguiram penetrar nos ambientes Salesforce de múltiplos clientes, com o objetivo de examinar e exfiltrar dados de diversas contas.
A Klue emitiu um comunicado afirmando que não encontrou evidências de acesso direto à informação armazenada em sua própria plataforma, indicando que o ataque se limitou às integrações de terceiros. Em resposta, a empresa revogou as credenciais e tokens comprometidos, removeu qualquer código não autorizado, desativou as conexões afetadas, iniciou uma investigação interna e notificou as autoridades competentes. Especialistas em cibersegurança da CrowdStrike também foram acionados para auxiliar na análise do incidente.
Os primeiros indícios da exfiltração em massa de dados foram identificados por especialistas em cibersegurança que investigavam o funcionamento das integrações Klue Battlecards. Os atacantes utilizaram as credenciais OAuth roubadas para acessar as instâncias Salesforce dos clientes da Klue. Posteriormente, os invasores criaram novos tokens de acesso e empregaram scripts em Python para realizar um grande volume de requisições à API do Salesforce ao longo de horas, extraindo extensas quantidades de informação.
Entre as vítimas confirmadas está a Huntress, que relatou o roubo de contatos comerciais, conversas do departamento de vendas, informações de precificação e outros registros de sua conta Salesforce. Posteriormente, outras empresas como Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity também informaram sobre o comprometimento de seus ambientes Salesforce. A maioria dessas organizações ressaltou que a violação se restringiu aos dados contidos no Salesforce, sem afetar suas plataformas internas, infraestrutura principal, informações de pagamento ou sistemas corporativos essenciais. No entanto, os dados extraídos podem incluir nomes, endereços de e-mail corporativos, números de telefone, detalhes de negociações e informações comerciais confidenciais.
O grupo Icarus declarou publicamente ter roubado dados não apenas da Klue, mas também de várias empresas conectadas à plataforma. Antes mesmo da declaração oficial, a gangue já era associada a ataques de e-mail de extorsão recebidos pelas organizações afetadas. A conexão foi confirmada através de identificadores encontrados no aplicativo Session e no site utilizado pela Icarus para divulgar dados roubados.
As empresas afetadas estão alertando seus clientes e parceiros sobre o risco elevado de ataques subsequentes de phishing, chamadas telefônicas fraudulentas simulando ser funcionários da empresa, tentativas de engenharia social e novas exigências de resgate. As informações obtidas do Salesforce conferem aos atacantes a capacidade de criar mensagens altamente convincentes, mencionando negociações reais, contatos de colegas, preços de produtos e estágios de conversas comerciais, aumentando a probabilidade de sucesso dessas táticas.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
