Un nuovo incidente di sicurezza conferma quanto le integrazioni SaaS rappresentino oggi uno dei punti più delicati degli ecosistemi enterprise. Salesforce ha disabilitato l’applicazione Battlecards di Klue dopo aver rilevato un accesso non autorizzato ai dati CRM di numerosi clienti causato dalla compromissione di token OAuth. L’attacco, attribuito al gruppo Icarus, non ha coinvolto direttamente l’infrastruttura di Salesforce ma ha sfruttato una credenziale legacy rimasta attiva nell’ambiente di integrazione di Klue. Attraverso questo accesso gli aggressori sono riusciti a raccogliere token OAuth validi e a utilizzarli per interrogare direttamente le API di Salesforce, esfiltrando informazioni commerciali da più organizzazioni. L’incidente evidenzia ancora una volta come una singola compromissione nella supply chain SaaS possa generare effetti a catena su decine di aziende che condividono lo stesso ecosistema di integrazione.
Cosa leggere
Come è iniziato l’attacco contro Klue
L’origine dell’incidente risale a una credenziale legacy mantenuta attiva per anni all’interno di un progetto di integrazione ormai abbandonato. Secondo quanto confermato dal CEO di Klue, gli aggressori sono riusciti a sfruttare questa credenziale per ottenere accesso ai backend della piattaforma. Una volta all’interno dell’infrastruttura hanno installato codice malevolo progettato per intercettare e raccogliere i token OAuth utilizzati dai clienti per collegare Klue ai propri sistemi aziendali. Questo approccio ha consentito agli attaccanti di evitare l’acquisizione di credenziali utente tradizionali e di sfruttare direttamente le autorizzazioni già concesse all’applicazione integrata. Il metodo rappresenta uno degli scenari più temuti nelle moderne architetture cloud, poiché i token OAuth vengono spesso considerati attendibili dai sistemi di autenticazione e possono mantenere privilegi elevati per lunghi periodi.
La cronologia della compromissione
La sequenza degli eventi mostra una progressione estremamente rapida. L’11 giugno 2026 Salesforce ha individuato attività anomale provenienti da integrazioni collegate a Klue. Il giorno successivo la piattaforma ha rilevato connessioni remote sospette e codice non autorizzato all’interno della propria infrastruttura. Il 13 giugno sono state revocate tutte le credenziali OAuth dei clienti e sono state disabilitate le integrazioni con numerosi servizi esterni, inclusi HubSpot, Zoom, Slack, Google, SharePoint, Gong, Chorus e Clari.
Il 16 giugno gli hacker hanno iniziato a inviare email di estorsione ad alcune aziende coinvolte. Il 17 giugno Salesforce ha pubblicato l’avviso ufficiale e ha proceduto alla disattivazione dell’applicazione Battlecards. Due giorni dopo Klue ha reso pubblica una dichiarazione dettagliata mentre il gruppo Icarus ha pubblicato la propria rivendicazione sul sito di leak.
Come sono stati utilizzati i token OAuth rubati
Dopo aver raccolto i token, gli aggressori hanno iniziato a utilizzarli direttamente contro le istanze Salesforce dei clienti. Gli accessi avvenivano impersonando l’applicazione Klue, circostanza che rendeva difficile distinguere il traffico malevolo dalle normali attività di integrazione. Le analisi forensi hanno mostrato l’esecuzione di script Python automatizzati che interrogavano sistematicamente le API REST di Salesforce. Le operazioni iniziavano con richieste verso l’endpoint /services/data/v59.0/sobjects per enumerare gli oggetti disponibili, seguite da interrogazioni tramite /services/data/v59.0/query e dai meccanismi di paginazione QueryMore. In diversi casi le attività sono proseguite per quasi ventiquattro ore consecutive, con picchi vicini alle mille richieste API in quindici minuti. Gli script utilizzavano user-agent riconducibili a Python-urllib e provenivano da infrastrutture VPS distribuite.
Le aziende coinvolte nell’esfiltrazione
Tra le organizzazioni che hanno confermato l’impatto figurano Huntress, Tanium, Jamf e Recorded Future. Le informazioni sottratte comprendono contatti aziendali, dettagli delle opportunità commerciali, preventivi, note di vendita, comunicazioni interne e dati relativi agli abbonamenti dei clienti. Huntress ha precisato che non sono stati compromessi dati di prodotto, telemetria, password o informazioni di pagamento.
Tanium ha confermato l’accesso a dati relativi a opportunità commerciali, nominativi, indirizzi email e informazioni di contatto. Anche Jamf e Recorded Future hanno segnalato l’accesso limitato a dati CRM e contrattuali. Altre aziende citate nelle analisi includono Sprout Social, Gong e Insurity, mentre il numero effettivo delle vittime potrebbe aumentare con il proseguimento delle verifiche.
Le email di estorsione del gruppo Icarus
Una volta completata l’esfiltrazione dei dati, il gruppo Icarus ha avviato la fase di monetizzazione dell’attacco. Alcuni dipendenti delle aziende coinvolte hanno ricevuto messaggi con richieste di contatto urgente e minacce di pubblicazione dei dati sottratti. In particolare alcuni dipendenti di Huntress hanno ricevuto email con oggetto “top secret email”, nelle quali veniva concesso un termine di quarantotto ore per avviare una trattativa.
Gli attaccanti hanno indicato come canale di comunicazione la piattaforma Session, frequentemente utilizzata da gruppi criminali per preservare l’anonimato. Sul proprio sito di leak, Icarus ha pubblicato una dichiarazione nella quale sostiene di aver ottenuto accesso a numerose istanze Salesforce e descrive i dati come “borrowed, not stolen”, una formula spesso utilizzata dai gruppi di estorsione per tentare di giustificare le proprie attività.
La risposta di Salesforce e Klue
Salesforce è intervenuta rapidamente disabilitando l’applicazione Battlecards e bloccando ulteriori accessi tramite l’integrazione compromessa. L’azienda ha chiarito che la piattaforma Salesforce non presenta vulnerabilità sfruttate dagli attaccanti e che il problema deriva esclusivamente dalla compromissione dei token associati all’applicazione di terze parti. Klue ha revocato tutte le credenziali e i token coinvolti, rimosso il codice malevolo individuato nell’infrastruttura e disattivato le integrazioni potenzialmente interessate. Per supportare l’indagine è stata coinvolta CrowdStrike, incaricata di svolgere attività di analisi forense e risposta agli incidenti. Le aziende colpite hanno successivamente pubblicato comunicazioni trasparenti confermando che l’impatto riguarda principalmente dati commerciali e CRM.
Un nuovo esempio di attacco supply chain SaaS
L’incidente si inserisce in una tendenza ormai consolidata che vede gli attaccanti privilegiare la compromissione di fornitori SaaS per ottenere accesso simultaneo a molte organizzazioni. Operazioni analoghe hanno interessato negli ultimi anni integrazioni CRM come Salesloft, Drift e Gainsight. Gruppi come ShinyHunters e UNC6395 hanno dimostrato che l’acquisizione di token OAuth rappresenta un metodo estremamente efficace per bypassare controlli di autenticazione tradizionali e meccanismi MFA. Una volta ottenuto il token, il sistema considera l’applicazione come un soggetto autorizzato e consente l’accesso alle risorse previste dall’integrazione. Questo approccio permette agli aggressori di operare in modo silenzioso e persistente, spesso per molte ore o giorni prima di essere individuati.
Le lezioni per la sicurezza delle integrazioni enterprise
L’attacco contro Klue evidenzia un problema strutturale che riguarda molte organizzazioni moderne. Le integrazioni SaaS ricevono spesso privilegi elevati per facilitare lo scambio di dati tra piattaforme diverse, ma raramente vengono monitorate con la stessa attenzione riservata agli account umani. La compromissione di una singola applicazione può quindi trasformarsi in una porta d’accesso verso decine di ambienti aziendali. Le organizzazioni che utilizzano integrazioni con Salesforce dovrebbero verificare periodicamente i token OAuth attivi, revocare quelli non più necessari, implementare sistemi di monitoraggio delle API e limitare il più possibile i privilegi assegnati alle applicazioni di terze parti. L’episodio conferma che la sicurezza della supply chain SaaS è ormai uno dei fronti più critici della cybersecurity moderna e che i token OAuth rappresentano un obiettivo sempre più appetibile per i gruppi criminali specializzati nelle operazioni di esfiltrazione e doppia estorsione.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
