Un token de Salesforce olvidado permitió a hackers comprometer de golpe a una decena de grandes empresas.

La plataforma de análisis de mercado Klue confirmó el acceso no autorizado a parte de la infraestructura de integraciones. Los atacantes obtuvieron tokens OAuth, claves digitales para el acceso entre servicios, y con ellos accedieron a entornos de Salesforce de varios clientes. El grupo de extorsión Icarus asumió la responsabilidad del ataque y exigió que se le contactara a través del mensajero Session para evitar la publicación de los datos robados.

Se detectó actividad sospechosa el 12 de junio. La investigación mostró que los atacantes usaron credenciales antiguas comprometidas relacionadas con el servicio de integraciones de Klue. El acceso permitió obtener tokens OAuth para conectarse a plataformas de terceros, entre ellas Salesforce, y luego examinar y copiar datos de varias cuentas de clientes.

Klue afirmó que no halló indicios de acceso a información almacenada directamente en la plataforma. El ataque afectó solo a las integraciones de terceros. La empresa revocó las credenciales y tokens comprometidos, eliminó código no autorizado, desconectó las conexiones afectadas, inició una investigación interna y notificó a las autoridades. También se contó con especialistas de CrowdStrike para analizar el incidente.

Los primeros indicios de un robo masivo de datos los detectaron especialistas en ciberseguridad que investigaban el funcionamiento de las integraciones Klue Battlecards. Los atacantes usaron credenciales OAuth robadas para acceder a los Salesforce de los clientes de Klue. Después crearon nuevos tokens de acceso y durante horas enviaron solicitudes a la API de Salesforce mediante scripts en Python, exportando grandes volúmenes de información.

Entre los afectados estuvo la empresa Huntress. De su Salesforce se sustrajeron contactos comerciales, correspondencia del equipo de ventas, información sobre precios y otros registros. Más tarde se informó que los entornos de Salesforce afectados incluían los de Recorded Future, Tanium, Jamf, Sprout Social, Gong e Insurity.

Casi todas las organizaciones indican que la filtración se limitó a datos de Salesforce. Las plataformas propias, la infraestructura interna, la información de pagos y los sistemas corporativos principales no se vieron afectados. No obstante, en los registros exportados podían figurar nombres, direcciones de correo electrónico laborales, teléfonos, detalles de negociaciones e información comercial.

Icarus declaró públicamente que robó datos no solo de Klue sino de varias empresas vinculadas a la plataforma. Antes de la declaración ya se había vinculado al grupo con los correos en los que se exigía el rescate que recibieron las organizaciones afectadas. La relación se confirmó mediante identificadores en Session y en el sitio de Icarus para publicar los datos robados.

Las empresas advierten a clientes y socios sobre el riesgo de posteriores correos de phishing, llamadas en nombre de empleados, intentos de ingeniería social y nuevas exigencias de rescate. Los datos de Salesforce permiten a los atacantes elaborar mensajes convincentes: mencionar acuerdos reales, contactos de colegas, precios, nombres de productos y etapas de negociación.