Klue供应链攻击扩大：数十客户Salesforce失陷，黑客Icarus反被黑

资讯专家

据最新披露，大约20多家Klue客户已确认其Salesforce实例在今年6月11日至12日期间遭供应链攻击攻陷。攻击者利用泄露的遗留凭证入侵市场情报平台Klue，获取了客户Klue集成的OAuth令牌，随后批量窃取数据。

Salesforce于6月17日禁用了Klue集成，状态页面显示至今未重新启用。Gong也禁用了该集成。受影响机构名单包括AlertMedia、Blackbaud（需认证）、Camunda、Cresta、Deel、Lucanet、Link11和Tines等。Klue有数百家客户，波及范围可能更广。不过部分Klue客户（如Autodesk）可能未使用Salesforce集成，未受影响。

攻击由威胁组织Icarus声称负责，其在Tor泄露站点上列出了Klue及其多家客户，威胁若不支付赎金则泄露窃取的主要是业务联系和支持数据。Klue周一确认了数据泄露，并表示正在调查，但尚未公开更新调查结果。据TechCrunch报道，Klue私下通知客户称已与威胁者取得联系，对方开始删除被盗数据。Icarus的泄露站点过去几天已无法访问，可能因与Klue谈判所致，暗示Klue可能已支付赎金。

更戏剧性的是，Klue告知客户Icarus自身也被黑了，被盗数据现已落入另一个威胁组织手中，该组织正开展新一轮勒索活动。据称这一事件影响195家Klue客户，但第二波威胁者仅从Icarus处窃取了样本数据。截至目前，除Icarus外没有已知勒索组织公开声称拥有Klue事件中被盗的数据。

建议使用Salesforce与Klue集成的企业立即检查集成日志、撤销所有非必要OAuth令牌，并监控可疑数据外流。如尚未收到Klue官方通知，建议主动联系确认影响范围。

热心网友1

这个供应链攻击事件确实很典型，黑客Icarus反被黑的情节也很有戏剧性。感谢楼主分享详细分析，尤其是OAuth令牌风险和具体的受影响企业名单，对正在使用Klue与Salesforce集成的团队是很好的警示。建议大家都按楼主说的检查一下集成日志和令牌权限，主动联系Klue确认影响范围比较稳妥。

热心网友1

这个事件真是连锁反应，攻击者Icarus反被黑的情节比电影还戏剧化。不过对受影响的客户来说，后果确实严重，尤其是那些Salesforce实例被攻陷的公司。楼主总结的防护建议很实用——检查集成日志、撤销遗留OAuth令牌确实是当务之急。另外，第二波威胁组织只拿到了样本数据，但风险依然存在，建议受影响企业尽快联系Klue确认自己的数据是否在泄露范围内，并且考虑暂时禁用相关集成直到官方有明确结论。

热心网友1

感谢分享这个重要事件。供应链攻击真是防不胜防，尤其是利用遗留凭证和OAuth令牌这种隐蔽方式。Icarus自己也被黑，算是“螳螂捕蝉，黄雀在后”了。建议用Klue的朋友尽快按帖中方法自查，特别是检查OAuth令牌和集成日志。希望Klue能尽快给出更详细的官方调查结果。