SecBoard
HochBranchenlageScore: 20/100

Klue-OAuth-Breach weitet sich aus: „Icarus“ stiehlt Salesforce-Daten über gestohlene OAuth-Tokens

29. Juni 2026
Klue-OAuth-Breach weitet sich aus: „Icarus“ stiehlt Salesforce-Daten über gestohlene OAuth-Tokens

Kurzfazit

Nach dem Einbruch beim Anbieter Klue wächst die Opferliste: Angreifer der Gruppe „Icarus“ nutzten gestohlene OAuth-Tokens, um über die legitime Klue-Integration Salesforce-CRM-Daten mehrerer Organisationen zu entwenden. Die Kampagne ist eine laufende Erpressungsaktion und ein Lehrstück über das Risiko von Drittanbieter-OAuth-Verbindungen.

Was ist passiert?

Der Umfang der Salesforce-bezogenen Angriffe wächst: Nachdem Angreifer beim Anbieter Klue (Market-Intelligence-Plattform) eingebrochen waren, nutzten sie dessen OAuth-Tokens, um auf die mit Klue verbundenen Salesforce-Umgebungen von Kunden zuzugreifen und CRM-Daten zu stehlen. Die als „Icarus“ auftretenden Akteure haben den Angriff für sich reklamiert; Klue hat den Vorfall öffentlich bestätigt. Die Opferliste wächst weiter und die Kampagne läuft als Erpressungsaktion. Berichten zufolge zählt auch LastPass zu den betroffenen Organisationen, deren Salesforce-Daten über die Klue-Tokens abgegriffen wurden.

Warum ist das relevant?

Der Angriff erfolgte nicht über eine Schwachstelle in Salesforce selbst, sondern über eine vertrauenswürdige Drittanbieter-Integration: Wer Klue per OAuth an Salesforce angebunden hatte, war über die gestohlenen Tokens angreifbar — ohne eigenes Zutun und ohne klassischen Login. OAuth-Tokens umgehen zudem häufig . Das macht den Vorfall zu einem typischen Beispiel für Supply-Chain-/Integrationsrisiken im SaaS-Umfeld.

Betroffene Branchen und Technologien

Betroffen sind Organisationen, die Klue per OAuth mit Salesforce verbunden haben (Identitäts-/Zugriffsebene, hier als active-directory im weiteren Sinne der Identity-Governance). Eine branchenspezifische Eingrenzung geht aus den Quellen nicht hervor.

Priorisierungssignale

  • Aktive, laufende Erpressungskampagne
  • Wachsende Opferliste (mehrere Organisationen, u. a. LastPass genannt)
  • OAuth-Token-Missbrauch umgeht Login/
  • Drittanbieter-Integration als Einfallstor

Defensive Empfehlungen

  • Prüfen, ob Klue (oder andere Drittanbieter) per OAuth mit der eigenen Salesforce-Umgebung verbunden ist; betroffene OAuth-Tokens/Connected Apps widerrufen und neu ausstellen.
  • Salesforce-Audit-/Login-Logs auf ungewöhnliche API-Zugriffe über Connected Apps prüfen.
  • Berechtigungen von Drittanbieter-Integrationen nach Least-Privilege einschränken und regelmäßig rezertifizieren.
  • Erpressungs-/Datenabfluss-Szenario in die Incident-Response einplanen und betroffene Datenkategorien bewerten.

Quellenhinweise

Grundlage sind Berichte von Dark Reading und BleepingComputer zur Klue-/Icarus-/Salesforce-Kampagne.

Was Security-Teams jetzt prüfen sollten

  • 1Prüfen, ob Klue/Drittanbieter per OAuth mit Salesforce verbunden sind; betroffene Tokens/Connected Apps widerrufen und neu ausstellen.
  • 2Salesforce-Audit-/Login-Logs auf ungewöhnliche API-Zugriffe über Connected Apps prüfen.
  • 3Berechtigungen von Drittanbieter-Integrationen nach Least-Privilege einschränken und rezertifizieren.
  • 4Erpressungs-/Datenabfluss-Szenario in die Incident-Response aufnehmen und Datenkategorien bewerten.
  • 5OAuth-Connected-Apps inventarisieren und ungenutzte Integrationen entfernen.

Betroffene Technologien

active-directory

Transparenz & Redaktion

  • Analyse: SecBoard Research
  • Redaktionell verantwortlich: Eike Fellgiebel
  • KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
  • Stand: 29. Juni 2026
Wie SecBoard arbeitet: Methodik & Quellen
#Salesforce#OAuth#Klue#Icarus#Supply Chain#Datendiebstahl#Extortion