舊帳密成資安破口！Klue證實駭客入侵導致客戶資料外洩

一個被遺忘許久的舊帳號密碼，竟成了撬開數十家企業資料庫的鑰匙。加拿大競爭情報平台Klue近日爆發嚴重資安事件，一場精密的供應鏈攻擊波及至少九個組織，包括多家高知名度資安公司，其Salesforce CRM資料遭竊。新興勒索組織Icarus公開宣稱犯案，並揚言若不支付贖金，將把偷來的資料全數公開。

事件起點可追溯至2026年6月12日，Klue在其整合基礎架構中偵測到未授權活動，攻擊者利用一組遭入侵的舊版憑證，存取並竊走用於連結客戶環境的OAuth令牌。這組被廢棄的憑證，正是整起事件的阿基里斯腱。

根據深度調查，攻擊者似乎利用了一組長期閒置但仍處於啟用狀態的憑證，這組憑證原先是Klue為測試一個後來被放棄的第三方整合而建立的。攻擊者以此為跳板，滲透Klue的基礎架構，竊取客戶使用的OAuth令牌，再直接查詢這些客戶的CRM工具，最終完成資料外洩。

攻擊始於6月11日，鎖定與軟體平台整合相關的系統。駭客連上Klue的後端伺服器並執行未授權指令，推送了一個程式碼更新，用以蒐集客戶Klue整合所使用的OAuth令牌。這種悄無聲息的「內部植碼」手法，讓整個攻擊過程在警報響起前就已大功告成。

根據報導，攻擊者驗證身份後，執行自動化Python腳本，透過Salesforce REST API持續查詢長達約24小時，這種行為模式與批量資料提取一致，而非正常整合流量——若非有API層級的日誌記錄，這種差異根本難以察覺。

受波及的客戶名單令人咋舌。Gong、Jamf、HackerOne、Insurity、OneTrust、Recorded Future、Snyk、Sprout Social與Tanium均確認在此次攻擊中遭竊資料。除此之外，LastPass更指出，駭客利用從Klue竊取的OAuth令牌，入侵LastPass在Salesforce上的客戶支援記錄，LastPass正通知客戶，其個人資訊與客戶支援案件資料已遭竊。

遭竊資料大多為商業聯絡資訊，包括姓名、電子郵件地址、電話號碼、職稱，以及客戶的部分帳號資訊。所幸，沒有任何核心平台資料、產品遙測資料、威脅情報、密碼或支付卡資訊遭到洩露。

幕後主謀指向一個剛竄起不久的新威脅組織。根據報導，與ShinyHunters有關的威脅行為者曾發動過先前的Salesforce攻擊，但這波最新攻擊似乎出自不同陣營：Icarus。這個組織相當新，自我標榜「Icarus」，至少自2026年4月28日起便開始活躍。

6月16日，Huntress收到攻擊者的電子郵件，聲稱持有竊來的Salesforce資料，並揚言若Huntress不「做出正確決定」，將在24小時內公諸於世。勒索信中留下一個名為Session的加密通訊平台聯絡方式，令人不安。Huntress還注意到，最初的勒索信署名「mr bean」，隨後攻擊者又發出更正信，用語是「wrong session lol」，顯示其作戰安全相當鬆散，或有多名操作者共用基礎設施。

Salesforce方面也迅速採取行動。6月17日，Salesforce停用了Klue Battlecards應用程式整合，警告稱「偵測到涉及該應用程式的異常活動，可能導致未授權存取部分客戶資料」。Salesforce同時強調，「此問題僅限於Klue的應用程式連線，並非Salesforce平台本身的漏洞所致。」

Klue執行長Jason Smith於6月22日公開確認事件，將其定性為「蓄意犯罪行為」。Klue已聘請CrowdStrike負責事件應變與鑑識調查，並通報執法機關，同時對憑證管理、監控能力與部署流程進行全面審查。另外，Klue目前在高層名單上並未列出任何負責資安的專責人員。

這起事件再次揭示了SaaS供應鏈攻擊的系統性風險。指出，「這起事件與Salesloft Drift及Gainsight遭攻擊的第三方OAuth濫用手法如出一轍，再次印證受信任的SaaS整合，仍是攻擊者覬覦敏感資料、卻鮮少被嚴密監控的高價值途徑。」

進一步了解：klue integration breach salesforce data、bleepingcomputer.com

資安公司Obsidian Security一針見血地指出核心問題所在：「當攻擊者取得Klue的OAuth令牌時，他們不需要密碼、不需要多重驗證碼、也不需要釣魚任何員工。他們有令牌就夠了。在Salesforce眼中，那個令牌就是Klue，於是存取被批准，CRM紀錄被大規模查詢。」

本文 舊帳密成資安破口！Klue證實駭客入侵導致客戶資料外洩 授權來自 亞洲新聞網。