Klue-OAuth-Breach weitet sich aus: „Icarus“ stiehlt Salesforce-Daten über gestohlene OAuth-Tokens

Kurzfazit
Nach dem Einbruch beim Anbieter Klue wächst die Opferliste: Angreifer der Gruppe „Icarus“ nutzten gestohlene OAuth-Tokens, um über die legitime Klue-Integration Salesforce-CRM-Daten mehrerer Organisationen zu entwenden. Die Kampagne ist eine laufende Erpressungsaktion und ein Lehrstück über das Risiko von Drittanbieter-OAuth-Verbindungen.
Was ist passiert?
Der Umfang der Salesforce-bezogenen Angriffe wächst: Nachdem Angreifer beim Anbieter Klue (Market-Intelligence-Plattform) eingebrochen waren, nutzten sie dessen OAuth-Tokens, um auf die mit Klue verbundenen Salesforce-Umgebungen von Kunden zuzugreifen und CRM-Daten zu stehlen. Die als „Icarus“ auftretenden Akteure haben den Angriff für sich reklamiert; Klue hat den Vorfall öffentlich bestätigt. Die Opferliste wächst weiter und die Kampagne läuft als Erpressungsaktion. Berichten zufolge zählt auch LastPass zu den betroffenen Organisationen, deren Salesforce-Daten über die Klue-Tokens abgegriffen wurden.
Warum ist das relevant?
Der Angriff erfolgte nicht über eine Schwachstelle in Salesforce selbst, sondern über eine vertrauenswürdige Drittanbieter-Integration: Wer Klue per OAuth an Salesforce angebunden hatte, war über die gestohlenen Tokens angreifbar — ohne eigenes Zutun und ohne klassischen Login. OAuth-Tokens umgehen zudem häufig MFA. Das macht den Vorfall zu einem typischen Beispiel für Supply-Chain-/Integrationsrisiken im SaaS-Umfeld.
Betroffene Branchen und Technologien
Betroffen sind Organisationen, die Klue per OAuth mit Salesforce verbunden haben (Identitäts-/Zugriffsebene, hier als active-directory im weiteren Sinne der Identity-Governance). Eine branchenspezifische Eingrenzung geht aus den Quellen nicht hervor.
Priorisierungssignale
- Aktive, laufende Erpressungskampagne
- Wachsende Opferliste (mehrere Organisationen, u. a. LastPass genannt)
- OAuth-Token-Missbrauch umgeht Login/MFA
- Drittanbieter-Integration als Einfallstor
Defensive Empfehlungen
- Prüfen, ob Klue (oder andere Drittanbieter) per OAuth mit der eigenen Salesforce-Umgebung verbunden ist; betroffene OAuth-Tokens/Connected Apps widerrufen und neu ausstellen.
- Salesforce-Audit-/Login-Logs auf ungewöhnliche API-Zugriffe über Connected Apps prüfen.
- Berechtigungen von Drittanbieter-Integrationen nach Least-Privilege einschränken und regelmäßig rezertifizieren.
- Erpressungs-/Datenabfluss-Szenario in die Incident-Response einplanen und betroffene Datenkategorien bewerten.
Quellenhinweise
Grundlage sind Berichte von Dark Reading und BleepingComputer zur Klue-/Icarus-/Salesforce-Kampagne.
Was Security-Teams jetzt prüfen sollten
- 1Prüfen, ob Klue/Drittanbieter per OAuth mit Salesforce verbunden sind; betroffene Tokens/Connected Apps widerrufen und neu ausstellen.
- 2Salesforce-Audit-/Login-Logs auf ungewöhnliche API-Zugriffe über Connected Apps prüfen.
- 3Berechtigungen von Drittanbieter-Integrationen nach Least-Privilege einschränken und rezertifizieren.
- 4Erpressungs-/Datenabfluss-Szenario in die Incident-Response aufnehmen und Datenkategorien bewerten.
- 5OAuth-Connected-Apps inventarisieren und ungenutzte Integrationen entfernen.
Betroffene Technologien
Quellenhinweise
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 29. Juni 2026