Přejít na hlavní obsah
CIAD

Útok na dodavatele Klue: hackeři ukradli obchodní data přes propojení se Salesforce

Skupina Icarus kompromitovala platformu Klue a skrze ukradené přístupové tokeny téměř 24 hodin exfiltrovala data firem ze Salesforce.

Dne 11. června 2026 provedla nová extorzní skupina označovaná jako Icarus sofistikovaný útok na platformu Klue, specializovaný nástroj pro analýzu konkurenčního prostředí, který je integrován se systémem Salesforce (CRM systém pro řízení obchodních vztahů se zákazníky). Útočníci se nedostali přímo do Salesforce. Zneužili méně chráněného dodavatele, jehož prostřednictvím získali přístup k datům zákazníků.

Co se vlastně stalo

Skupina Icarus, aktivní od 28. dubna 2026, získala přístup k backendové infrastruktuře Klue prostřednictvím odcizených neaktivních přihlašovacích údajů. Poté vložila škodlivý kód do integračních workflow platformy Klue a pomocí něj odcizila OAuth tokeny zákazníků.

OAuth token (přístupový klíč) je mechanismus, který umožňuje jedné aplikaci jednat jménem uživatele v jiné aplikaci bez znalosti jeho hesla. Zákazníci Klue tímto způsobem propojili svůj účet Klue se svou instancí Salesforce. Útočníci odcizené tokeny okamžitě využili: po dobu téměř 24 hodin automatizovaně dotazovali Salesforce REST API (programové rozhraní pro vzdálený přístup k datům) a exfiltrovali obchodní kontakty, cenové nabídky a prodejní komunikaci zasažených organizací. Útok zasáhl mimo jiné kybernetickou firmu Huntress.

Klue odvolal všechny aktivní OAuth tokeny 12. června 2026. Salesforce souběžně deaktivoval integraci Klue Battlecards. Tato opatření exfiltraci zastavila, nicméně data odcizená v průběhu předchozích 24 hodin zůstávají kompromitována.

Proč by vás to mělo zajímat

Případ ilustruje klíčové riziko závislostí v dodavatelském řetězci digitálních nástrojů. Útočníci nepotřebovali přímý přístup do Salesforce; stačilo kompromitovat méně zabezpečeného integrovaného dodavatele a využít delegovaná oprávnění, která zákazníci Klue vydali.

Z pohledu NIS2 a obecného nařízení o ochraně osobních údajů (GDPR) je tento typ útoku zvláště problematický. Odpovědnost za ochranu dat leží na správci bez ohledu na to, zda k úniku došlo přímo nebo skrze kompromitovaného zpracovatele. Incident zároveň ukazuje, jak rychle může útočník exfiltrovat velké objemy strukturovaných obchodních dat přes legitimní API bez nestandardního síťového provozu.

Co udělat

  • Pravidelně auditujte udělené OAuth tokeny a integrační oprávnění třetím stranám; revokujte vše, co není aktivně využíváno.
  • Nasaďte monitoring anomálií na úrovni API volání v CRM systémech, zejména pro neobvyklé objemy dotazů nebo mimopracovní aktivitu.
  • Při výběru integrovaných dodavatelů vyhodnocujte jejich bezpečnostní zralost a smluvně zajistěte povinnost notifikace při incidentu.
  • Implementujte princip nejmenšího oprávnění: OAuth scope integrací by měl pokrývat pouze nezbytné zdroje dat.
  • Po jakémkoli incidentu u dodavatele ihned revokujte jeho tokeny a proveďte audit logů za předchozích 30 dní.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog