O grupo de extorsão Icarus comprometeu a integração Klue Battlecards em 11 de junho de 2026 e usou tokens OAuth (Ataque OAuth) roubados para extrair dados de CRM do Salesforce de múltiplas organizações simultaneamente, em uma operação automatizada que durou cerca de 24 horas contínuas e afetou até a empresa de cibersegurança Huntress, levando o Salesforce a desabilitar a integração em 17 de junho.
Um ataque sofisticado contra a integração Klue Battlecards expôs dados de CRM de múltiplas empresas clientes do Salesforce em junho de 2026. O responsável é o grupo de extorsão conhecido como Icarus, que explorou uma vulnerabilidade na cadeia de fornecimento SaaS para operar por aproximadamente 24 horas sem ser detectado — tempo suficiente para extrair volumes significativos de dados corporativos sensíveis.
Como o Ataque Funcionou na Prática
Tudo começou em 11 de junho de 2026, quando comportamentos anômalos foram detectados nos sistemas de integração da Klue. Os atacantes haviam inserido uma atualização de código maliciosa capaz de coletar tokens OAuth dos clientes conectados à plataforma.
Com os tokens em mãos, o grupo se autenticou via contas de serviço comprometidas da integração Klue. A partir daí, executaram scripts Python automatizados para consultar diretamente a REST API do Salesforce. A abordagem foi metódica: primeiro, uma fase lenta e discreta de mapeamento dos objetos do Salesforce. Depois, a extração em escala.
O volume foi expressivo. Em pelo menos um ambiente comprometido, os atacantes dispararam quase mil consultas em uma janela de apenas 15 minutos. As sessões de extração sustentada chegaram a durar mais de seis horas consecutivas. O OAuth token abuse permitiu que os invasores agissem como usuários legítimos durante todo o processo, sem acionar os controles tradicionais de segurança.
Ataque OAuth: Quando a Vítima é Quem Deveria Proteger
Um detalhe que chama atenção neste incidente é quem estava entre as vítimas. A empresa de cibersegurança Huntress confirmou publicamente que seus próprios dados do Salesforce foram comprometidos no ataque. A Huntress era cliente da Klue e, portanto, tinha a integração ativa no momento da invasão.
O fato reforça um ponto desconfortável para o setor: nenhuma organização está imune a ataques que exploram a cadeia de fornecimento SaaS. Mesmo equipes especializadas em segurança podem ser afetadas quando o vetor de ataque está em um fornecedor terceiro, fora do perímetro de controle direto.
O Salesforce desabilitou a integração com o aplicativo Klue Battlecards em 17 de junho de 2026. A Klue, por sua vez, agiu rapidamente ao desativar as credenciais OAuth de todos os clientes e suspender integrações com Salesforce, HubSpot, Microsoft SharePoint, Zoom, Gong, Google Drive e outros serviços conectados à plataforma.
O Padrão que o Setor Não Pode Ignorar
Este não é um caso isolado. O ataque via Klue Battlecards é o terceiro incidente de uma série documentada de abusos de OAuth contra integrações do Salesforce registrados entre 2025 e 2026. Os dois anteriores envolveram as plataformas Salesloft Drift e Gainsight.
O padrão é claro: grupos de extorsão estão sistematicamente explorando identidades não-humanas contas de serviço e tokens OAuth para contornar os controles de segurança tradicionais. Essas identidades recebem acessos amplos e persistentes, mas são monitoradas com muito menos rigor do que contas de funcionários humanos.
É exatamente aí que está a brecha. Enquanto as organizações investem em autenticação multifator, monitoramento de comportamento de usuários e resposta a incidentes para pessoas, as integrações SaaS operam em segundo plano com credenciais que raramente são rotacionadas, revisadas ou auditadas com a mesma frequência.
O OAuth token abuse explora justamente essa lacuna. Um token comprometido concede ao atacante os mesmos privilégios da integração legítima, sem exigir senha, sem acionar alertas de login suspeito, e muitas vezes sem nenhum tipo de alerta para a equipe de segurança da organização afetada.
O Que Executivos de TI Precisam Fazer Agora
A recomendação imediata do setor é direta: revogue e reemita todos os tokens OAuth e segredos de cliente vinculados à integração Klue. Se sua organização utilizava o Klue Battlecards com conexão ao Salesforce, HubSpot, Gong ou qualquer outro serviço listado, essa ação não pode esperar.
Mas o incidente aponta para uma necessidade mais ampla e estrutural. As organizações precisam tratar identidades não-humanas com o mesmo rigor aplicado a contas humanas. Isso inclui inventário completo de todas as integrações SaaS ativas, revisão periódica dos escopos de acesso concedidos a cada aplicativo, rotação programática de credenciais e tokens, e monitoramento ativo do tráfego gerado por APIs de terceiros.
Picos anormais de consultas à API como os quase mil acessos em 15 minutos registrados neste ataque deveriam disparar alertas automáticos. Em muitas organizações, esse tipo de monitoramento simplesmente não existe para integrações de terceiros.
O incidente também levanta uma questão de governança: quem, dentro da sua organização, sabe exatamente quais aplicativos têm acesso ao Salesforce hoje? Quantos tokens OAuth estão ativos neste momento? Quando foi a última vez que esses acessos foram auditados?
Se a resposta a qualquer uma dessas perguntas for incerta, o risco já existe. O grupo Icarus e outros agentes de ameaça similares estão contando com essa incerteza para operar por horas, ou dias, sem serem detectados.
O ecossistema SaaS corporativo cresceu de forma acelerada nos últimos anos. A superfície de ataque cresceu na mesma proporção. A diferença é que a segurança das integrações não acompanhou esse ritmo e os atacantes perceberam isso antes das equipes de defesa.
Assine a nossa News e siga o Itshow em nossas redes sociais para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!