Salesforce đã tiết lộ rằng họ đã vô hiệu hóa tích hợp ứng dụng Klue Battlecards trong nền tảng của mình nhằm phản ứng với một sự cố bảo mật ảnh hưởng đến công ty trí tuệ cạnh tranh Klue vào ngày 11 tháng 6 năm 2026.
Vì lý do đó, các tổ chức sẽ không thể kết nối với Salesforce thông qua ứng dụng này cho đến khi có thông báo mới, công ty phần mềm dựa trên đám mây của Mỹ đã lưu ý trong một cảnh báo được công bố tuần này.
"Salesforce đã thực hiện hành động này vì các đội ngũ bảo mật của chúng tôi gần đây đã phát hiện hoạt động bất thường liên quan đến ứng dụng, có thể đã dẫn đến việc truy cập trái phép vào một tập hợp con dữ liệu khách hàng thông qua kết nối của ứng dụng với Salesforce", công ty cho biết. "Vấn đề này chỉ giới hạn ở kết nối ứng dụng của Klue và không phát sinh từ lỗ hổng trong nền tảng Salesforce."
Diễn biến này xảy ra khi một nhóm tống tiền có tên Icarus đã xâm nhập và đánh cắp dữ liệu từ khách hàng của Klue, bao gồm cả công ty an ninh mạng Huntress.
"Dữ liệu bị sao chép từ tài khoản Salesforce của chúng tôi bao gồm danh bạ doanh nghiệp, báo giá và các dữ liệu cũng như tin nhắn liên quan đến bán hàng khác", Huntress chia sẻ. "Không có dữ liệu về mối đe dọa, mật khẩu, thông tin thẻ thanh toán hoặc dữ liệu kỹ thuật liên quan đến Huntress agent hoặc telemetry mà chúng tôi thu thập bị ảnh hưởng."
Trong bản cập nhật của riêng mình, Klue cho biết họ đã phát hiện hoạt động trái phép ảnh hưởng đến một phần cơ sở hạ tầng tích hợp của Klue vào ngày 12 tháng 6 năm 2026, đồng thời cho biết thêm rằng những kẻ tấn công đã giành được quyền truy cập thông qua một thông tin xác thực cũ (legacy credential) bị xâm nhập liên quan đến một dịch vụ tích hợp.
"Kẻ tấn công đã sử dụng quyền truy cập đó để lấy các mã thông báo OAuth được sử dụng để kết nối Klue với một số nền tảng bên thứ ba, bao gồm cả Salesforce, và sau đó truy cập dữ liệu trong một số môi trường khách hàng được kết nối", CEO của Klue, Jason Smith cho biết. "Dựa trên cuộc điều tra của chúng tôi cho đến nay, sự cố chỉ giới hạn ở các nền tảng bên thứ ba bị ảnh hưởng và không có bằng chứng nào cho thấy nội dung khách hàng được lưu trữ trong nền tảng Klue bị ảnh hưởng."
Cụ thể, cuộc xâm nhập được cho là đã cho phép tác nhân đe dọa đẩy một bản cập nhật mã có khả năng thu thập các mã thông báo OAuth mà khách hàng sử dụng để kết nối Klue với hệ thống của chính họ. Để ứng phó với vụ vi phạm, Klue đã thực hiện các bước để thu hồi các thông tin xác thực và mã thông báo bị ảnh hưởng, gỡ bỏ mã trái phép, chặn truy cập từ xa, vô hiệu hóa các tích hợp có khả năng bị tác động và khởi động một cuộc điều tra toàn diện.
Tính đến ngày 16 tháng 6 năm 2026, một số nhân viên của Huntress đã nhận được email với dòng chủ đề "top secret email" và lời cảnh báo: "Dữ liệu Salesforce của bạn đã được tải xuống... Bạn có 48 giờ để liên hệ với chúng tôi. Hãy đưa ra quyết định đúng đắn."
"Tác nhân đe dọa dường như đã tận dụng một thông tin xác thực đã lâu không sử dụng nhưng vẫn còn hoạt động để thực hiện cuộc xâm nhập ban đầu — thông tin này ban đầu được Klue tạo ra để họ thử nghiệm một tích hợp bên thứ ba mà sau đó họ đã từ bỏ", công ty cho biết. "Kẻ đe dọa sau đó đã chuyển hướng vào cơ sở hạ tầng của Klue để đánh cắp các mã thông báo được sử dụng bởi khách hàng của Klue, sau đó sử dụng các thông tin xác thực bị đánh cắp đó để truy vấn trực tiếp các công cụ CRM của những khách hàng đó và cuối cùng là đánh cắp dữ liệu."
Không có nhiều thông tin về tác nhân Icarus ngoại trừ việc chúng đã hoạt động từ ngày 28 tháng 4 năm 2026 và đã tuyên bố có tổng cộng hai nạn nhân cho đến nay. Tuy nhiên, chiến dịch trộm cắp dữ liệu này có nét tương đồng với các đợt tấn công trước đó được thực hiện bởi ShinyHunters và UNC6395.
ReliaQuest, trong phân tích riêng về vụ lạm dụng tích hợp Klue, cho biết hoạt động này có những điểm tương đồng với kịch bản lạm dụng OAuth của bên thứ ba liên quan đến các vụ xâm nhập Salesloft Drift và Gainsight nhắm vào môi trường Salesforce vào năm ngoái.
"Trong các cuộc tấn công mà chúng tôi quan sát được, kẻ đối đầu trước tiên đã xác thực thông qua một tài khoản dịch vụ tích hợp Klue bị xâm nhập, tạo mã thông báo OAuth và chạy các tập lệnh Python tự động (có thể nhận dạng bằng chuỗi user-agent Python-urllib)", các nhà nghiên cứu của ReliaQuest, Thassanai McCabe và Alexa Feminella cho biết.
"Các tập lệnh này trước tiên liệt kê danh mục đối tượng của tổ chức thông qua GET /services/data/v59.0/sobjects, sau đó lặp lại các truy vấn REST API đối với điểm cuối truy vấn Salesforce (/services/data/v59.0/query) và phân trang kết quả thông qua con trỏ QueryMore trong gần 24 giờ."
Đây được đánh giá là các hành động truy xuất dữ liệu hàng loạt được thiết kế để lấy một lượng lớn hồ sơ CRM thông qua Salesforce REST API. Điều này bao gồm một "đợt bùng phát tập trung" với gần một nghìn truy vấn trong 15 phút đối với ít nhất một môi trường và một cửa sổ trích xuất kéo dài hơn sáu giờ trong một trường hợp khác.
Hiện chưa rõ có bao nhiêu khách hàng Salesforce bị ảnh hưởng bởi các cuộc tấn công mới nhất, mặc dù Klue cho biết họ đã liên lạc trực tiếp với những khách hàng bị ảnh hưởng, chia sẻ kết quả điều tra và hỗ trợ các nỗ lực ứng phó của họ.
"Điểm chung là việc lạm dụng mã thông báo OAuth hoặc thông tin xác thực từ một nhà cung cấp bên thứ ba đáng tin cậy", ReliaQuest cho biết. "Các tích hợp này là những định danh không phải con người (non-human identities) với quyền truy cập lâu dài, thường là rộng rãi vào dữ liệu nhạy cảm, nhưng chúng thường được giám sát kém chặt chẽ hơn nhiều so với tài khoản nhân viên. Lỗ hổng đó là lý do tại sao một vòng lặp truy vấn tự động kéo dài 24 giờ có thể chạy từ một tài khoản tích hợp 'đáng tin cậy' mà không kích hoạt các cảnh báo thông thường."