Platforma za tržno inteligenco Klue se je znašla v središču resnega varnostnega incidenta, ki prizadeva vse večje število strank. Podjetje je uradno potrdilo, da so neznani napadalci uspeli ukrasti OAuth žetone, ki so jih stranke uporabljale za integracijo s svojimi Salesforce okolji. Za napadom se je javno pripisala nova izsiljevalska skupina z imenom Icarus, ki postaja vse bolj prepoznavna v svetu kibernetskega kriminala.
OAuth žetoni predstavljajo ključni mehanizem za avtorizacijo med platformami brez neposrednega posredovanja uporabniških gesel. Kraja takšnih žetonov pomeni, da so napadalci pridobili trajni dostop do podatkov v Salesforce sistemih prizadetih podjetij, ne da bi kdaj koli potrebovali dejanska prijavna gesla. To je posebej zaskrbljujoče, saj so takšni žetoni pogosto dolgotrajni in jih mnoge organizacije ne razveljavljajo redno.
Skupina Icarus, ki se uvršča med novejše akterje na področju izsiljevalskih napadov, je javno prevzela odgovornost za incident in s tem nakazala, da gre za ciljno usmerjen napad na posrednike oziroma platforme tretjih strani. Tovrstna taktika – znana kot napad na dobavno verigo ali napad prek zaupanja vrednih integracij – postaja ena izmed prevladujočih metod sofisticiranih skupin, saj z enim samim vdorom pridobijo dostop do podatkov številnih končnih žrtev.
Klue je prizadetim strankam svetoval takojšnjo razveljavitev vseh OAuth žetonov, povezanih z njihovimi Salesforce integracijami, ter pregled dnevnikov dostopa za morebitne znake nepooblaščene dejavnosti. Salesforce sam ni bil neposredno ogrožen, kar pomeni, da gre za kršitev na strani Klueove infrastrukture.
IT strokovnjaki in varnostni inženirji, ki upravljajo podobne integracije, bi morali nemudoma preveriti naslednje: kateri OAuth žetoni so aktivni v njihovih okoljih, kdaj so bili nazadnje rotirirani ter ali obstajajo nenavadne poizvedbe ali izvozi podatkov iz Salesforce platform v zadnjih tednih. Priporoča se tudi uvedba strožjega nadzora nad dovoljenji OAuth aplikacij tretjih strani in redno rotiranje žetonov kot del standardnih varnostnih postopkov.
Incident znova opozarja na nevarnosti, ki izhajajo iz prekomerne zaupljivosti do integracij tretjih strani. Medtem ko se seznam prizadetih strank še povečuje, ostaja obseg celotne kršitve za zdaj neznan. Klue je sporočil, da sodeluje s forenzičnimi strokovnjaki in pristojnimi organi, ter obljubil nadaljnje obveščanje strank o razvoju situacije.
Vir: https://www.bleepingcomputer.com/news/security/klue-oauth-breach-victim-list-grows-as-icarus-hackers-claim-attack/
Originalna objava: 2026-06-19
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.