🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Salesforce revelou que desativou a integração do aplicativo Klue Battlecards em sua plataforma em resposta a um incidente de segurança que afetou a empresa de inteligência competitiva em 11 de junho de 2026.
Para esse fim, as organizações não poderão se conectar ao Salesforce por meio do aplicativo até novo aviso, observou a empresa americana de software baseada em nuvem em um alerta publicado esta semana.
“A Salesforce tomou esta ação porque nossas equipes de segurança detectaram recentemente atividades incomuns envolvendo o aplicativo que podem ter resultado em acesso não autorizado a um subconjunto de dados do cliente por meio da conexão do aplicativo com o Salesforce”, observou. “Este problema está limitado à conexão do aplicativo Klue e não surge de uma vulnerabilidade na plataforma Salesforce.”
O desenvolvimento ocorre quando um grupo de extorsão apelidado de Icarus comprometeu e exfiltrou dados de clientes da Klue, incluindo a empresa de segurança cibernética Huntress.
“Os dados que foram copiados de nossa conta Salesforce incluem contatos comerciais, cotações de preços e outros dados e mensagens relacionados a vendas”, disse Huntress. “Nenhum dado de ameaça, senha, informação de cartão de pagamento ou dados de engenharia relacionados ao agente Huntress ou telemetria que coletamos foi afetado.”
Em sua própria atualização, a Klue disse que detectou atividades não autorizadas afetando uma parte da infraestrutura de integração da Klue em 12 de junho de 2026, acrescentando que os invasores obtiveram acesso por meio de uma credencial legada comprometida associada a um serviço de integração.
“O invasor usou esse acesso para obter tokens OAuth usados para conectar Klue a certas plataformas de terceiros, incluindo Salesforce, e posteriormente acessou dados em vários ambientes de clientes conectados”, disse o CEO da Klue, Jason Smith. “Com base em nossa investigação até o momento, o incidente foi limitado às plataformas de terceiros afetadas e não há evidências de que o conteúdo do cliente armazenado na plataforma Klue tenha sido afetado.”
Especificamente, diz-se que a intrusão permitiu que o agente da ameaça enviasse uma atualização de código capaz de coletar tokens OAuth que seus clientes usam para conectar o Klue aos seus próprios sistemas. Em resposta à violação, Klue tomou medidas para revogar credenciais e tokens afetados, remover códigos não autorizados, interromper o acesso remoto, desativar integrações potencialmente afetadas e iniciar uma investigação abrangente.
Em 16 de junho de 2026, alguns funcionários da Huntress receberam um e-mail com o assunto "e-mail ultrassecreto" e um aviso que afirma: "Seus dados do Salesforce foram baixados... Você tem 48 horas para se comunicar conosco. Tome a decisão certa."
“O ator da ameaça parece ter aproveitado uma credencial há muito desativada, mas ainda ativa, para conduzir o compromisso inicial – uma que foi originalmente criada por Klue para eles criarem um protótipo de uma integração de terceiros que abandonaram mais tarde”, disse a empresa. “O ator da ameaça então se concentrou na infraestrutura da Klue para roubar os tokens usados pelos clientes da Klue e, em seguida, usou essas credenciais roubadas para consultar diretamente as ferramentas de CRM desses clientes e, eventualmente, para exfiltrar os dados.”
Não se sabe muito sobre o ator de Ícaro além do fato de que ele está ativo desde 28 de abril de 2026 e fez um total de duas vítimas até o momento. Dito isto, a campanha de roubo de dados reflete ondas de ataques anteriores montadas por ShinyHunters e UNC6395.
ReliaQuest, em sua própria análise do abuso de integração Klue, disse que a atividade compartilha semelhanças com o manual de abuso de OAuth de terceiros associado aos compromissos Salesloft Drift e Gainsight que visaram ambientes Salesforce no ano passado.
“Nos ataques que observamos, o adversário primeiro se autenticou por meio de uma conta de serviço de integração Klue comprometida, gerou tokens OAuth e executou scripts Python automatizados (identificáveis por strings de agente de usuário Python-urllib)”, disseram os pesquisadores da ReliaQuest, Thassanai McCabe e Alexa Feminella.
"Esses scripts primeiro enumeraram o catálogo de objetos da organização por meio de GET /services/data/v59.0/sobjects, depois fizeram um loop de consultas da API REST no endpoint de consulta do Salesforce (/services/data/v59.0/query) e paginaram os resultados por meio do cursor QueryMore por quase 24 horas."
Estas são avaliadas como ações de recuperação de dados em massa projetadas para extrair grandes volumes de registros de CRM por meio da API REST do Salesforce. Isso incluiu uma “explosão concentrada” de quase mil consultas em 15 minutos em pelo menos um ambiente e uma janela de extração que durou mais de seis horas em outro caso.
Não está claro quantos clientes da Salesforce foram afetados pelos ataques mais recentes, embora Klue tenha dito que tem se comunicado diretamente com os clientes afetados, compartilhando descobertas investigativas e ajudando em seus esforços de resposta.
“O ponto comum é o abuso de tokens ou credenciais OAuth de um fornecedor terceirizado confiável”, disse ReliaQuest. "Essas integrações são de natureza não humana
Para esse fim, as organizações não poderão se conectar ao Salesforce por meio do aplicativo até novo aviso, observou a empresa americana de software baseada em nuvem em um alerta publicado esta semana.
“A Salesforce tomou esta ação porque nossas equipes de segurança detectaram recentemente atividades incomuns envolvendo o aplicativo que podem ter resultado em acesso não autorizado a um subconjunto de dados do cliente por meio da conexão do aplicativo com o Salesforce”, observou. “Este problema está limitado à conexão do aplicativo Klue e não surge de uma vulnerabilidade na plataforma Salesforce.”
O desenvolvimento ocorre quando um grupo de extorsão apelidado de Icarus comprometeu e exfiltrou dados de clientes da Klue, incluindo a empresa de segurança cibernética Huntress.
“Os dados que foram copiados de nossa conta Salesforce incluem contatos comerciais, cotações de preços e outros dados e mensagens relacionados a vendas”, disse Huntress. “Nenhum dado de ameaça, senha, informação de cartão de pagamento ou dados de engenharia relacionados ao agente Huntress ou telemetria que coletamos foi afetado.”
Em sua própria atualização, a Klue disse que detectou atividades não autorizadas afetando uma parte da infraestrutura de integração da Klue em 12 de junho de 2026, acrescentando que os invasores obtiveram acesso por meio de uma credencial legada comprometida associada a um serviço de integração.
“O invasor usou esse acesso para obter tokens OAuth usados para conectar Klue a certas plataformas de terceiros, incluindo Salesforce, e posteriormente acessou dados em vários ambientes de clientes conectados”, disse o CEO da Klue, Jason Smith. “Com base em nossa investigação até o momento, o incidente foi limitado às plataformas de terceiros afetadas e não há evidências de que o conteúdo do cliente armazenado na plataforma Klue tenha sido afetado.”
Especificamente, diz-se que a intrusão permitiu que o agente da ameaça enviasse uma atualização de código capaz de coletar tokens OAuth que seus clientes usam para conectar o Klue aos seus próprios sistemas. Em resposta à violação, Klue tomou medidas para revogar credenciais e tokens afetados, remover códigos não autorizados, interromper o acesso remoto, desativar integrações potencialmente afetadas e iniciar uma investigação abrangente.
Em 16 de junho de 2026, alguns funcionários da Huntress receberam um e-mail com o assunto "e-mail ultrassecreto" e um aviso que afirma: "Seus dados do Salesforce foram baixados... Você tem 48 horas para se comunicar conosco. Tome a decisão certa."
“O ator da ameaça parece ter aproveitado uma credencial há muito desativada, mas ainda ativa, para conduzir o compromisso inicial – uma que foi originalmente criada por Klue para eles criarem um protótipo de uma integração de terceiros que abandonaram mais tarde”, disse a empresa. “O ator da ameaça então se concentrou na infraestrutura da Klue para roubar os tokens usados pelos clientes da Klue e, em seguida, usou essas credenciais roubadas para consultar diretamente as ferramentas de CRM desses clientes e, eventualmente, para exfiltrar os dados.”
Não se sabe muito sobre o ator de Ícaro além do fato de que ele está ativo desde 28 de abril de 2026 e fez um total de duas vítimas até o momento. Dito isto, a campanha de roubo de dados reflete ondas de ataques anteriores montadas por ShinyHunters e UNC6395.
ReliaQuest, em sua própria análise do abuso de integração Klue, disse que a atividade compartilha semelhanças com o manual de abuso de OAuth de terceiros associado aos compromissos Salesloft Drift e Gainsight que visaram ambientes Salesforce no ano passado.
“Nos ataques que observamos, o adversário primeiro se autenticou por meio de uma conta de serviço de integração Klue comprometida, gerou tokens OAuth e executou scripts Python automatizados (identificáveis por strings de agente de usuário Python-urllib)”, disseram os pesquisadores da ReliaQuest, Thassanai McCabe e Alexa Feminella.
"Esses scripts primeiro enumeraram o catálogo de objetos da organização por meio de GET /services/data/v59.0/sobjects, depois fizeram um loop de consultas da API REST no endpoint de consulta do Salesforce (/services/data/v59.0/query) e paginaram os resultados por meio do cursor QueryMore por quase 24 horas."
Estas são avaliadas como ações de recuperação de dados em massa projetadas para extrair grandes volumes de registros de CRM por meio da API REST do Salesforce. Isso incluiu uma “explosão concentrada” de quase mil consultas em 15 minutos em pelo menos um ambiente e uma janela de extração que durou mais de seis horas em outro caso.
Não está claro quantos clientes da Salesforce foram afetados pelos ataques mais recentes, embora Klue tenha dito que tem se comunicado diretamente com os clientes afetados, compartilhando descobertas investigativas e ajudando em seus esforços de resposta.
“O ponto comum é o abuso de tokens ou credenciais OAuth de um fornecedor terceirizado confiável”, disse ReliaQuest. "Essas integrações são de natureza não humana
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #salesforce #desativa #integração #do #aplicativo #klue #após #abuso #de #token #oauth #expor #dados #de #clientes
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário