Organizações que usam o Klue ou integrações Salesforce similares devem adotar medidas imediatas: Revogar e rotacionar tokens OAuth: todos os tokens associados à integração Klue Battlecards e a quaisquer integrações Salesforce de terceiros devem ser revogados imediatamente, incluindo refresh tokens. Verificar logs da API do Salesforce: procurar atividade originada dos IPs 138.226.246.94, 212.86.125.24, 213.111.148.90 e 94.154.32.160, identificados pela ReliaQuest e Huntress como ligados ao ataque. Auditar escopos de integração: revisar quais integrações SaaS têm acesso ao Salesforce e limitar ao princípio de menor privilégio. Se uma integração precisa apenas ler dados de um objeto específico, ela não deveria ter acesso de leitura e escrita ao CRM inteiro. Monitorar atividade anômala de integrações: implementar alertas para picos de queries via API, acessos de infraestrutura fora do footprint esperado e padrões de exfiltração como os observados neste ataque — reconhecimento lento seguido de extração rápida. Terminar sessões ativas: invalidar todas as sessões ativas do Salesforce e forçar reautenticação de usuários e integrações.

Klue rouba dados do Salesforce via ataque OAuth

Q: Como o ataque funcionou?

Segundo a Huntress e a ReliaQuest , que publicaram relatórios detalhados sobre o incidente, a cadeia de eventos seguiu um padrão preocupante: Acesso inicial ao backend da Klue: atacantes comprometeram os sistemas internos da empresa e usaram uma credencial dormente — criada para um protótipo de integração — para obter acesso persistente. Push de código malicioso: a partir do acesso interno, os atacantes implantaram uma atualização de código que roubou os tokens OAuth dos clientes usados para conectar o produto Klue Battlecards a plataformas como Salesforce, HubSpot, SharePoint, Zoom, Gong e Slack. Exfiltração em massa via API: com os tokens em mãos, os atacantes executaram scripts Python automatizados que consultaram a REST API do Salesforce por quase 24 horas. Em um dos ambientes monitorados, a ReliaQuest registrou quase mil queries em uma janela de apenas 15 minutos. Extorsão organizada: o grupo "Icarus", identificado pela BleepingComputer como responsável, começou a enviar e-mails de extorsão às vítimas com exigências de pagamento e ameaças de publicação dos dados.

Atacantes comprometeram a plataforma Klue, roubaram tokens OAuth de clientes e usaram esses credenciais para extrair dados do Salesforce de múltiplas empresas durante quase 24 horas. O grupo “Icarus”, responsável pelo ataque, já envia e-mails de extorsão às vítimas. A Salesforce desabilitou a integração Klue Battlecards como medida preventiva. Empresas brasileiras que usam o Salesforce com integrações de terceiros devem revogar tokens imediatamente.

Integração legítima virou porta de entrada

Um ataque de cadeia de suprimentos SaaS atingiu centenas de empresas essa semana. A plataforma Klue, usada por organizações para inteligência competitiva, teve seus tokens OAuth roubados. Com eles, criminosos acessaram dados de CRM do Salesforce de múltiplas vítimas em massa. A Huntress, fornecedora de segurança que costuma investigar incidentes de terceiros, revelou que os próprios dados da empresa foram comprometidos no ataque. A Salesforce já desabilitou a integração Klue Battlecards enquanto a investigação avança.

O ataque expõe um problema sistêmico: empresas confiam em integrações SaaS com escopo amplo de acesso, mas raramente monitoram o tráfego que essas integrações geram. O resultado é uma superfície de ataque invisível para a maioria das equipes de segurança.

Como o ataque funcionou

Segundo a Huntress e a ReliaQuest, que publicaram relatórios detalhados sobre o incidente, a cadeia de eventos seguiu um padrão preocupante:

Acesso inicial ao backend da Klue: atacantes comprometeram os sistemas internos da empresa e usaram uma credencial dormente — criada para um protótipo de integração — para obter acesso persistente.
Push de código malicioso: a partir do acesso interno, os atacantes implantaram uma atualização de código que roubou os tokens OAuth dos clientes usados para conectar o produto Klue Battlecards a plataformas como Salesforce, HubSpot, SharePoint, Zoom, Gong e Slack.
Exfiltração em massa via API: com os tokens em mãos, os atacantes executaram scripts Python automatizados que consultaram a REST API do Salesforce por quase 24 horas. Em um dos ambientes monitorados, a ReliaQuest registrou quase mil queries em uma janela de apenas 15 minutos.
Extorsão organizada: o grupo “Icarus”, identificado pela BleepingComputer como responsável, começou a enviar e-mails de extorsão às vítimas com exigências de pagamento e ameaças de publicação dos dados.

Icarus: o novo grupo de extorsão

O grupo de ameaças “Icarus” surgiu em abril de 2026 e adota um modelo diferente do ransomware tradicional. Em vez de criptografar dados, os atacantes roubam informações sensíveis e cobram para não publicá-las — um esquema de extorsão por vazamento (data theft extortion). Os e-mails identificados pela BleepingComputer usam o alias “mr bean” e incluem IDs do Session Messenger para negociação.

O site de vazamento do Icarus contém uma mensagem: “big corps getting listed. be ready”. Pelo menos uma vítima já foi removida do site, o que sugere que negociações estão em andamento. A técnica segue o mesmo padrão de campanhas anteriores de grupos como ShinyHunters, que em 2025 e 2026 comprometeram integrações do Salesloft Drift e Gainsight para atingir ambientes Salesforce.

Tokens OAuth: o elo fraco

O cerne do problema está no modelo de confiança do OAuth. Quando uma empresa conecta uma integração como a Klue ao Salesforce, a plataforma emite um token que diz: “essa integração é confiável, ela tem esse escopo de acesso, pode prosseguir”. Esse token persiste, opera em segundo plano e concede acesso independentemente de quem ou o que está usando-o. Para o Salesforce, o token é a Klue. Se atacantes roubam esse token, o acesso é garantido sem necessidade de senha, MFA ou funcionário phishingado.

A Obsidian Security destacou que a infraestrutura usada nos ataques era totalmente inconsistente com o footprint legítimo da Klue — um sinal que deveria ter disparado alertas em qualquer sistema de monitoramento de SaaS bem configurado. O problema é que a maioria das empresas não monitora de onde as integrações SaaS operam.

Dados roubados e impacto real

Segundo a Huntress, os dados exfiltrados incluem contatos comerciais, comunicações de vendas, cotações de preço, relatórios de inteligência competitiva e dados de contas. A empresa afirmou que não há evidências de comprometimento de telemetria de ameaças, senhas ou dados de cartão de pagamento. Ainda assim, o volume de informações comerciais expostas é substancial e pode alimentar ataques downstream — como campanhas de phishing altamente segmentadas contra os contatos presentes no CRM.

O que fazer agora

Organizações que usam o Klue ou integrações Salesforce similares devem adotar medidas imediatas:

Revogar e rotacionar tokens OAuth: todos os tokens associados à integração Klue Battlecards e a quaisquer integrações Salesforce de terceiros devem ser revogados imediatamente, incluindo refresh tokens.
Verificar logs da API do Salesforce: procurar atividade originada dos IPs 138.226.246.94, 212.86.125.24, 213.111.148.90 e 94.154.32.160, identificados pela ReliaQuest e Huntress como ligados ao ataque.
Auditar escopos de integração: revisar quais integrações SaaS têm acesso ao Salesforce e limitar ao princípio de menor privilégio. Se uma integração precisa apenas ler dados de um objeto específico, ela não deveria ter acesso de leitura e escrita ao CRM inteiro.
Monitorar atividade anômala de integrações: implementar alertas para picos de queries via API, acessos de infraestrutura fora do footprint esperado e padrões de exfiltração como os observados neste ataque — reconhecimento lento seguido de extração rápida.
Terminar sessões ativas: invalidar todas as sessões ativas do Salesforce e forçar reautenticação de usuários e integrações.

O padrão se repete

Este não é um incidente isolado. Compromissos de integrações SaaS seguem um padrão crescente: o breach da Okta em 2023, o ataque ao CircleCI, as campanhas contra Salesloft Drift e Gainsight em 2025 e 2026, e agora a Klue. A lógica é a mesma: em vez de atacar cada organização individualmente, criminosos comprometem um fornecedor de software e usam os tokens OAuth dele para acessar centenas de ambientes corporativos de uma só vez.

A lição é direta. Ataques de cadeia de suprimentos se tornaram o vetor preferido para roubo de dados em escala. Cada integração conectada ao seu ambiente é um potencial atalho. Se a sua empresa não sabe quantas integrações SaaS estão conectadas ao Salesforce — e com que escopo — é o momento de descobrir.

Klue rouba dados do Salesforce de centenas de empresas