Salesforce desativa app Klue apos abuso de tokens OAuth expor dados de clientes

Resumo: A Salesforce desativou a integracao da app Klue Battlecards em sua plataforma apos detectar acessos nao autorizados a dados de clientes via tokens OAuth comprometidos. O grupo de extorsao Icarus, ativo desde abril de 2026, exfiltrou informacoes corporativas de empresas como a Huntress e enviou ameacas exigindo contato em 48 horas. O incidente reabre a discussao sobre o risco sistemico das integracoes de terceiros em ambientes SaaS criticos.

O que aconteceu

Em alerta publicado nesta semana, a Salesforce informou que desabilitou a integracao da Klue Battlecards depois que suas equipes de seguranca detectaram, em 11 de junho de 2026, atividade incomum envolvendo a aplicacao. A empresa afirma que o problema esta restrito a conexao da app e nao decorre de uma vulnerabilidade na plataforma propriamente dita. Ainda assim, organizacoes que dependiam do conector ficam, por ora, impossibilitadas de sincronizar dados ate que a investigacao termine.

A Klue, empresa canadense de inteligencia competitiva, confirmou um dia depois ter identificado acesso indevido a parte de sua infraestrutura de integracao. De acordo com o CEO Jason Smith, o atacante explorou uma credencial legada, criada originalmente para um prototipo de integracao com terceiros que foi posteriormente abandonado. A partir desse ponto de apoio, o invasor obteve tokens OAuth utilizados para conectar a Klue a plataformas como a Salesforce e, em sequencia, navegou pelos ambientes dos clientes.

O incidente ganhou tracao publica quando o grupo de extorsao autodenominado Icarus passou a contatar diretamente vitimas. A Huntress, empresa americana de seguranca, foi uma das atingidas. Em comunicado, afirmou que os dados copiados de sua conta Salesforce incluem contatos de negocios, cotacoes de precos e mensagens relacionadas a vendas. Conforme a empresa, nao foram tocados dados de telemetria do seu agente, senhas, informacoes de cartao de pagamento ou conteudo de engenharia.

Como o ataque funcionou

Pesquisadores da ReliaQuest reconstruiram o playbook do invasor. Apos autenticar-se com a credencial legada da conta de servico de integracao da Klue, o ator gerou tokens OAuth validos para os ambientes Salesforce conectados e executou scripts Python automatizados identificaveis pelo user-agent Python-urllib. Essas rotinas primeiro enumeravam o catalogo de objetos da organizacao via GET /services/data/v59.0/sobjects e, em seguida, faziam consultas em loop ao endpoint de query do Salesforce para drenar tabelas inteiras.

O ator de ameaca utilizou uma credencial ha muito tempo em desuso, mas ainda ativa, criada originalmente pela Klue para prototipar uma integracao de terceiros que depois foi abandonada.

Comunicado oficial da Klue

O atacante tambem teria inserido uma atualizacao de codigo capaz de coletar tokens OAuth de clientes ao longo do tempo, ampliando o raio do comprometimento. A Klue afirmou ter revogado as credenciais e tokens afetados, removido o codigo malicioso, interrompido acessos remotos suspeitos e desabilitado integracoes potencialmente impactadas.

Quem e afetado

O Icarus aparenta ser um operador relativamente recente, ativo desde 28 de abril de 2026, com duas vitimas reivindicadas ate o momento. Em 16 de junho, funcionarios da Huntress comecaram a receber e-mails ameacadores com o assunto “top secret email”, contendo o aviso: “Seus dados do Salesforce foram baixados. Voce tem 48 horas para se comunicar conosco”.

• Empresas que utilizam a Klue Battlecards integrada ao Salesforce.
• Equipes comerciais que armazenavam pipeline, propostas e mensagens em campos sincronizados pela app.
• Cadeias de fornecedores SaaS com conectores OAuth ativos sem politica de rotacao periodica.
• Organizacoes que mantem credenciais legadas de prototipos sem inventario centralizado.

Analise

O caso da Klue se soma a uma sequencia preocupante de ataques que exploram a teia de tokens OAuth concedidos a aplicacoes de terceiros em ambientes Salesforce. O playbook lembra de perto os incidentes ja conhecidos envolvendo Salesloft Drift e Gainsight em 2025, bem como as campanhas atribuidas a ShinyHunters e ao cluster UNC6395 rastreado pela Mandiant. A logica e sempre a mesma: comprometer o elo de uma integracao com privilegios amplos e usar a confianca implicita para extrair dados em massa via APIs legitimas.

O detalhe da credencial de prototipo abandonada e o aspecto mais doloroso do episodio. Em ambientes corporativos modernos, e raro encontrar inventario completo de chaves, tokens e service accounts criados por times de produto. Esses artefatos costumam sobreviver a entregas de projeto, mudancas de equipe e migracoes, transformando-se em pontos de entrada silenciosos. Quando esses identificadores recebem escopo OAuth amplo, basta uma falha de credencial para abrir o caminho a toda uma cadeia de clientes downstream.

O movimento da Salesforce de desabilitar a app de forma proativa e um sinal positivo, mas tambem evidencia o quanto plataformas SaaS estao se tornando responsaveis por proteger seus clientes contra falhas de terceiros que vivem em seu ecossistema. A pressao regulatoria sobre fornecedores de software corporativo deve aumentar conforme esse tipo de incidente se repete.

Recomendacoes praticas

• Revise todos os apps conectados em Setup > Connected Apps OAuth Usage no Salesforce e revogue tokens nao utilizados ha mais de 30 dias.
• Implemente IP restrictions e profiles dedicados para contas de servico de integracao, com escopo minimo necessario.
• Estabeleca politica de rotacao trimestral de credenciais de integracao, mesmo para conexoes consideradas estaveis.
• Monitore logs de Event Monitoring buscando user-agents Python-urllib e queries em massa ao endpoint /services/data/.
• Inventarie service accounts e API users criados em fase de prototipo: desative o que nao esta em uso.
• Eduque o time comercial sobre como reconhecer mensagens de extorsao e a quem reportar internamente.

Fonte: The Hacker News