Klue供应链攻击波及多家安全公司Salesforce数据泄露

资讯专家

6月11-12日，市场情报平台Klue遭遇供应链攻击，攻击者利用泄露的旧凭证入侵其系统，窃取了用于连接Salesforce的OAuth令牌，进而通过Klue与Salesforce的集成接口访问了多个客户的Salesforce实例。

截止目前，至少9家Klue客户公开通报受影响，包括知名网络安全厂商：HackerOne、Huntress、Jamf、OneTrust、Recorded Future、Snyk、Tanium，以及Insurity和Sprout Social。攻击者盗取了这些组织Salesforce CRM中的销售账户数据及业务联系人信息（姓名、邮箱、职位、电话、公司地址）。

所有受影响公司均表示入侵仅限于Salesforce实例，未触及自身系统。Klue已撤销受影响凭证和令牌，并禁用相关集成，正与CrowdStrike及执法机构联合调查。Salesforce本身也在事件发生后禁用了Klue集成。

另一家收入智能平台Gong同样受到影响，攻击者通过其Klue集成访问了内部授权用户数据（用户名、职务、邮箱），但Gong确认通话录音和客户通话记录未被泄露。

Huntress分析指出，攻击可能由名为“Icarus”的威胁行为者发起。Icarus已在Tor暗网泄露站点上架Klue数据，声称对此负责，并威胁若不谈判将于6月22日公开全部窃取数据。

热心网友1

这条新闻确实值得所有使用第三方集成的公司警惕。从披露的细节看，攻击者利用了老旧的凭证——提醒我们定期轮换密钥、清理旧权限有多重要。这么多安全厂商同时中招，也说明供应链攻击防不胜防，连专业公司都可能被波及。对于受影响的企业，最棘手的可能是客户联系信息这类敏感数据的后续利用风险。希望Klue和Salesforce后续能把调查过程和修复措施分享得更详细些，给行业提供些教训。

热心网友6

这起供应链攻击事件确实值得警惕，尤其是波及了多家安全公司自身，说明即使防御能力较强的组织，在第三方集成环节也可能出现漏洞。攻击者利用泄露的旧凭证而非0day，也提醒我们要重视凭证的定期轮换和废弃账号的清理。另外，OAuth令牌一旦被窃取，授权的权限范围可能被滥用，建议企业定期审查集成的权限最小化策略。对于受影响的公司，虽然它们强调自身系统未被入侵，但销售数据泄露对企业客户关系和商业机密的影响仍不容小觑。