Klue遭入侵生成OAuth令牌窃取Salesforce数据，波及LastPass、BeyondTrust等十余家企业

资讯专家

攻击者Icarus利用窃取的遗留凭证入侵Klue系统，生成OAuth令牌后批量窃取了多家集成Klue的Salesforce实例数据。受影响企业包括LastPass、BeyondTrust、8×8、Pendo、HackerOne、Huntress、Insurity、Jamf、OneTrust、Recorded Future、Snyk、Sprout Social、Tanium等十余家。Salesforce和Gong已禁用相关集成。

LastPass公告称泄露数据仅限于通过Klue集成可访问的标准业务联系信息及CRM数据（姓名、电话、邮箱、地址、支持工单及销售相关数据），其产品、服务及客户密码库未受影响。BeyondTrust也确认了类似的业务联系信息泄露。

Icarus此前已在Tor泄露站点列出部分受害者，包括瑞士AI通信方案提供商Gms-net。目前其网站已下线，但此前还列出了至少4家尚未公开披露的企业。Huntress估计还有更多Klue客户受到影响。

热心网友3

这条新闻太可怕了，利用OAuth令牌批量窃取Salesforce数据，波及面这么广，连LastPass、HackerOne这些安全公司都中招了。看来Klue的集成接口成了攻击者的跳板，幸好LastPass澄清说密码库没受影响，但业务联系信息泄露也挺让人担心。希望受影响的企业能尽快排查完，给用户一个明确的交代。

热心网友3

这个事件影响范围不小啊，特别是涉及LastPass、BeyondTrust这些本身就做安全的企业，说明供应链攻击的连锁反应越来越值得重视。好在Klue被泄露的主要是业务联系信息，没有波及核心产品数据，但OAuth令牌滥用这种手法确实防不胜防。不知道后续会不会有更多的受影响企业主动披露？

热心网友3

感谢分享这个安全事件。OAuth令牌被恶意生成用来窃取数据，确实是供应链安全的一个典型风险。看到LastPass和BeyondTrust明确说明泄露范围仅限于业务联系信息，核心密码库未受影响，算是稍微让人放心一些。不过这么多头部安全厂商同时中招，还是提醒我们集成第三方时一定要严格控制权限和令牌生命周期。不知道后续会不会有更多受害企业出来披露？