- Cibercriminosos comprometeram a integração entre Klue Battlecards e Salesforce para roubar dados de CRM usando tokens OAuth (observado pela ReliaQuest).
- A Salesforce desativou a conexão do aplicativo Klue Battlecards durante a investigação; o incidente foi causado pelo uso indevido de credenciais de contas de serviço, não por falha da plataforma.
- Com as credenciais, os invasores geraram tokens OAuth e acessaram dados pela API REST do Salesforce, por meio de scripts automatizados em Python.
- O ataque permitiu extrair registros em grande volume; ainda não houve atribuição oficial de responsabilidade.
- A abordagem lembra campanhas anteriores de abuso de OAuth contra Salesforce, mas com indicadores diferentes.
Cibercriminosos comprometeram uma integração da Klue com o Salesforce para roubar dados de CRM de ambientes corporativos, usando tokens OAuth. A operação foi observada pela ReliaQuest, envolvendo a Klue Battlecards, que sincroniza inteligência competitiva, oportunidades e resultados com o Salesforce.
A Salesforce desativou a conexão do aplicativo Klue Battlecards durante a apuração. A empresa afirma que o incidente não decorre de falha na sua plataforma, mas do comprometimento de credenciais de contas de serviço usadas pela integração.
Com essas credenciais, os invasores geraram tokens OAuth e consultaram dados pela API REST do Salesforce. O acesso era executado por scripts automatizados em Python, permitindo a extração de grandes volumes de registros.
Ainda não há atribuição confirmada para o ataque. A técnica remete a campanhas anteriores que abusaram de OAuth contra ambientes Salesforce, mas os indicadores observados apresentam diferenças em relação a operações já conhecidas.
O episódio evidencia o risco de integrações SaaS consideradas confiáveis como porta de entrada para dados sensíveis. Empresas devem reforçar controles de credenciais, monitoramento de acessos e rotação de tokens para evitar incidentes semelhantes.
Entre na conversa da comunidade