CEVIU Logo
Voltar
Salesforce logo on a building
🚨CEVIU Segurança da Informação

Vazamento no Salesforce via app Klue: grupo Icarus extraiu dados de CRM por 24 horas

Aprofundamento CEVIU

Aprofundamento

O ataque ao Klue não foi um caso isolado de má configuração, foi a terceira onda consecutiva de abuso de OAuth em apps SaaS integrados ao Salesforce em menos de 12 meses. Diferente dos incidentes anteriores com Drift e Gainsight, este usou uma credencial inativa *mas funcional*, criada para um protótipo de integração que nunca foi para produção. Isso expõe uma falha sistêmica: equipes de segurança raramente auditam credenciais de 'teste' ou 'desenvolvimento', mesmo quando elas têm permissões completas de API. Os atacantes exploraram exatamente esse vazio operacional.

A exfiltração seguiu um padrão técnico preciso: primeiro, enumeração via /services/data/v59.0/sobjects para mapear objetos acessíveis (Contato, Cotação, Mensagem__c); depois, extração em massa via /services/data/v59.0/query com SOQL malicioso. O pico de quase 1.000 chamadas em 15 minutos não é acidental, é o comportamento típico de scripts Python automatizados que ignoram rate limits quando executados de IPs autorizados. Isso só foi possível porque a conta de integração do Klue não tinha restrição de IP nem escopo mínimo definido no OAuth.

O que mudou

Em abril de 2026, o CEVIU já alertava sobre o risco de tokens OAuth persistentes após o caso da Drift, mas lá o foco era em credenciais ativas e mal protegidas. Agora, com o Klue, o vetor mudou: é uma credencial *inativa há anos*, mantida por engano, com permissões amplas e sem monitoramento. Também é a primeira vez que o grupo Icarus aparece como executor, antes, eram os ShinyHunters (como na InfiniteCampus, 16/06). E pela primeira vez, o ataque explora um backdoor de código implantado diretamente no backend do app integrado, não apenas roubo de tokens em trânsito.

Por que isso importa

Esse não é um vazamento de CRM, é uma falha na cadeia de confiança de SaaS. Quando você autoriza um app como Klue no Salesforce, está delegando poder de leitura e escrita em seus dados comerciais mais sensíveis. Não basta revogar o token: se o app for comprometido, ele pode gerar novos tokens automaticamente, desde que sua integração tenha refresh tokens ativados e escopo amplo. Empresas que ainda usam 'all scopes' em conexões OAuth estão deixando a porta aberta para o próximo Icarus, mesmo que o app pareça seguro hoje.

Linha do tempo

  1. Violação na Anodot expõe empresas via tokens de nuvem roubados, destacando risco de credenciais de integração mal gerenciadas

  2. CEVIU analisa abuso de OAuth após incidente da Drift, alertando para permissões excessivas em apps SaaS

  3. ShinyHunters compromete InfiniteCampus via Salesforce, mostrando repetição do vetor de integração

  4. Ataque do Icarus via Klue extrai dados de CRM por 24 horas usando credencial inativa de teste

Perguntas frequentes

Por que revogar só o token OAuth não resolve?

Tokens OAuth podem ser renovados automaticamente se o app tiver permissão de 'refresh'. O ataque do Klue coletou tanto access tokens quanto refresh tokens dos clientes. Revogar apenas o access token é inútil: o app comprometido gera outro em segundos. É preciso revogar o client secret, redefinir a senha da conta de serviço e desabilitar o refresh token no Salesforce.

Como saber se minha organização foi afetada, se não recebi notificação?

Verifique logs de API do Salesforce filtrando chamadas para endpoints /services/data/*/sobjects e /services/data/*/query entre 11 e 13/06/2026. Busque por origens com User-Agent contendo 'Klue' ou 'Battlecards', especialmente com volumes acima de 50 chamadas/minuto. Se sua integração com Klue usa IP fixo, compare com o histórico de acesso.

O que muda se eu usar MFA no Salesforce?

Nada. OAuth não depende de autenticação do usuário final. Uma vez que o app tem um token válido, ele acessa a API diretamente, sem passar por login, sem MFA, sem captchas. A MFA protege o acesso humano, não a comunicação máquina-a-máquina.

Posso confiar em apps SaaS que dizem 'SOC 2 Type II'?

SOC 2 certifica processos, não arquitetura de segurança. O Klue é certificado SOC 2, mas mantinha uma credencial de teste com permissões totais. Certificação não impede má gestão de segredos. O que importa é como o app lida com tokens, escopos e rotação, e isso não aparece em relatórios de auditoria.

Links relacionados

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
19 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU Segurança da Informação
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser