La plataforma de inteligencia de mercado para equipos de ventas y marketing Klue, confirmó que un incidente de seguridad detectado el pasado 12 de junio afectó parte de su infraestructura de integraciones y permitió a un atacante acceder a tokens OAuth utilizados para conectar la plataforma con servicios de terceros, entre ellos Salesforce. Según la investigación divulgada por la compañía, el acceso inicial se produjo mediante una credencial heredada comprometida asociada a un servicio de integración.
El CEO de Klue, Jason Smith, señaló en una actualización del incidente publicada el pasado 19 de junio, que “el atacante utilizó ese acceso para obtener tokens OAuth utilizados para conectar Klue con ciertas plataformas de terceros, incluyendo Salesforce, y posteriormente accedió a datos dentro de varios entornos de clientes conectados”.
Por otra parte, luego del aviso y tras detectar actividad inusual relacionada con su aplicación Klue Battlecards, el gestor de relaciones con clientes Salesforce, decidió deshabilitar temporalmente la integración. La compañía indicó en un breve comunicado que la medida fue adoptada para proteger a sus clientes mientras continúa la investigación y precisó que “este problema se limita a la conexión de la aplicación Klue y no se debe a una vulnerabilidad en la plataforma Salesforce”.
En paralelo, investigaciones de realizadas por algunas formas de seguridad como ReliaQuest revelaron que los atacantes utilizaron cuentas de servicio comprometidas y tokens OAuth para autenticarse en instancias de Salesforce pertenecientes a clientes de Klue. Una vez dentro, los atacantes habrían ejecutado consultas automatizadas mediante la API REST de Salesforce para identificar y extraer información. Los investigadores observaron actividades de reconocimiento, enumeración de objetos y grandes volúmenes de consultas orientadas a la obtención de registros almacenados en los sistemas CRM afectados.
El grupo de extorsión Icarus fue vinculado al incidente por diversos investigadores de seguridad y posteriormente se atribuyó públicamente la operación en su sitio de filtraciones. En una publicación dirigida a Klue y a las organizaciones afectadas, los actores aseguraron haber obtenido información de diversas instancias de Salesforce asociadas a clientes de la empresa.
En este contexto, diversas compañías confirmaron haber sido impactadas por el incidente. Entre ellas figuran Recorded Future, Tanium, Jamf, Sprout Social, Gong, HackerOne, Snyk, Insurity, OneTrust y la firma de seguridad Huntress, la que publicó un informe al respecto. En la mayoría de los casos reportados, la información comprometida correspondió a datos comerciales almacenados en Salesforce, incluyendo contactos empresariales, registros de oportunidades de venta, comunicaciones comerciales y datos contractuales.
En el caso de Huntress, la empresa informó que los datos sustraídos desde su entorno de Salesforce incluían contactos comerciales, cotizaciones y otra información relacionada con ventas, aunque no existían evidencias de acceso a contraseñas, información de pago o sistemas de ingeniería. La compañía también reveló haber recibido mensajes de extorsión vinculados a Icarus. Uno de los correos advertía a las víctimas que “sus datos de Salesforce han sido descargados”.
Klue indicó que revocó credenciales y tokens afectados, eliminó código no autorizado, deshabilitó integraciones potencialmente comprometidas y contrató a CrowdStrike para apoyar la investigación. La empresa sostiene que hasta ahora no existe evidencia de que el contenido almacenado directamente en la plataforma Klue haya sido comprometido, limitándose el incidente a las integraciones con servicios de terceros.
