Cibercriminosos comprometeram uma integração da Klue com o Salesforce para roubar dados de CRM de ambientes corporativos usando tokens OAuth. O caso expõe o risco de integrações SaaS confiáveis serem abusadas como porta de entrada para acesso a informações sensíveis. A atividade foi observada pela ReliaQuest e envolveu a aplicação Klue Battlecards, usada para sincronizar dados de inteligência competitiva, oportunidades comerciais e resultados de vendas com o Salesforce.
A Salesforce desativou a conexão do aplicativo Klue Battlecards enquanto investiga o caso. A empresa afirmou que o incidente não foi causado por uma falha em sua plataforma, mas pelo comprometimento de credenciais de contas de serviço usadas pela integração.
Com essas credenciais, os invasores conseguiram gerar tokens OAuth e consultar dados pela API REST do Salesforce. O acesso era feito por scripts automatizados em Python, o que permitia extrair registros em grande volume. Ainda não há atribuição confirmada para o ataque.
A técnica lembra campanhas anteriores envolvendo abuso de OAuth contra ambientes Salesforce, mas os indicadores observados apresentam diferenças em relação a operações já conhecidas.
