Platforma za tržno inteligenco Klue se sooča z naraščajočim seznamom žrtev po potrditvi varnostnega incidenta, pri katerem so neznani napadalci uspeli ukrasti OAuth žetone, ki so jih stranke uporabljale za integracijo s Salesforce okolji. Za napadom se je javno razglasila nova izsiljevalska skupina z imenom Icarus, ki deluje po modelu dvojnega izsiljevanja – kraja podatkov in grožnja z objavo.
OAuth žetoni predstavljajo posebno nevarnost, ker napadalcem omogočajo dostop do tretjih sistemov brez potrebe po geslu. V primeru Klue so bili ti žetoni izkoriščeni za dostop do Salesforce instanc stranke, kjer se pogosto nahajajo občutljivi poslovni podatki, vključno s kontakti, pogodbenimi podatki in prodajnimi strategijami. Obseg dostopa je odvisen od dovoljenj, ki so bila dodeljena posameznim žetonom ob vzpostavitvi integracije.
Skupina Icarus je relativno nova akterka na področju kibernetskega kriminala, a hitro pridobiva na prepoznavnosti. Njihov modus operandi vključuje exfiltrацijo podatkov pred morebitnim šifriranjem, kar jim daje vzvodne točke pri pogajanjih z žrtvami. Javno pripisovanje napada je del njihove strategije pritiska na žrtve, da hitreje izplačajo odkupnino.
IT ekipam, ki uporabljajo Klue ali podobne platforme z OAuth integracijami, svetujemo takojšnje ukrepanje. Preverite in po potrebi razveljavite vse aktivne OAuth žetone, ki so bili dodeljeni Klue v vašem Salesforce okolju. To storite v meniju Salesforce Setup pod razdelkom Connected Apps OAuth Usage. Prav tako preglejte revizijske dnevnike za morebitno sumljivo aktivnost v obdobju zadnjih 90 dni.
Priporočamo uvedbo principa najmanjših privilegijev pri OAuth integracijah – vsaki tretji aplikaciji dodelite le minimalna dovoljenja, ki so potrebna za njeno delovanje. Razmislite tudi o implementaciji rešitev za neprekinjeno spremljanje OAuth aktivnosti in avtomatičnem opozarjanju ob anomalijah. Tovrstni incidenti poudarjajo pomen rednega pregleda in rotacije žetonov, ki jih pogosto zanemarjamo v primerjavi z upravljanjem gesel.
Klue je obvestil prizadete stranke in sodeluje s forenzičnimi strokovnjaki pri ugotavljanju obsega kršitve. Podjetje ni razkrilo točnega števila prizadetih strank, a glede na izjave skupine Icarus se seznam žrtev še povečuje. Napad na Klue je še en opomin, da so platforme za integracijo podatkov vse pogostejša tarča napadalcev, saj napad na enega ponudnika potencialno odpre vrata do podatkov celotne baze strank.
Vir: https://www.bleepingcomputer.com/news/security/klue-oauth-breach-victim-list-grows-as-icarus-hackers-claim-attack/
Originalna objava: 2026-06-19
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.