Klue-OAuth-Breach: Ein Legacy-Credential, neun Security-Anbieter kompromittiert

Der Security-Anbieter, dem Sie vertrauen, wurde gerade gehackt – und hat neun seiner Kunden mitgezogen.

Die Icarus-Erpressungsgruppe kompromittierte Klue, eine Plattform für Competitive Intelligence. Sie brauchten keinen Zero-Day. Sie fanden ein einzelnes Legacy-Credential, gelangten in Klues Backend und pushten ein Code-Update, das still OAuth-Tokens für jede aktive Kundenintegration abgriff. Salesforce. Slack. HubSpot. Zoom. Google Drive. SharePoint. Alles auf einmal deaktiviert.

Die bestätigte Opferliste umfasst Huntress, Recorded Future, Tanium, Jamf, Snyk, HackerOne und OneTrust. Security-Firmen – Unternehmen, deren gesamtes Geschäft in der Verteidigung anderer besteht – verloren ihre CRM-Daten, Sales-Pipelines, Preisinformationen und Account-Notizen an einen Bedrohungsakteur, der ihre eigene Umgebung nie berührt hat.

Aus Salesforces Perspektive war die Anfrage völlig legitim. Das ist das Kernproblem mit OAuth-basierten Drittanbieter-Integrationen: Wenn die Plattform kompromittiert wird, sind alle verbundenen Zugriffsrechte exponiert.

Prüfen Sie alle aktiven OAuth-Integrationen in Ihrer Organisation. Widerrufen Sie Zugriffsrechte für Drittanbieter-Plattformen, die Sie nicht aktiv verwenden. Implementieren Sie regelmäßige OAuth-Token-Rotation. Fordern Sie von kritischen SaaS-Anbietern Sicherheitsaudits und Penetrationstests an, bevor Sie Integrationen aktivieren.