Integração da Klue é explorada para roubo massivo de dados no Salesforce
Uma integração comprometida da Klue, plataforma focada em inteligência competitiva, foi explorada por criminosos para extrair em grande escala dados de CRM (Customer Relationship Management) armazenados em instâncias corporativas do Salesforce. A informação consta em relatório divulgado em 17 de junho pela ReliaQuest, que investigou a campanha maliciosa.
A Klue funciona como um hub que se conecta a aplicações amplamente usadas por equipes comerciais, como Salesforce, Slack e Microsoft Teams. A proposta é concentrar e disseminar inteligência competitiva – por exemplo, “battlecards” e análises sobre concorrentes – diretamente nas ferramentas onde os times de vendas já trabalham todos os dias. Essa dependência de integrações faz com que o conector da Klue tenha privilégios amplos de leitura em dados sensíveis do CRM, algo que os atacantes aproveitaram com precisão.
Segundo a ReliaQuest, o agente de ameaça conseguiu se autenticar nas contas de serviço vinculadas à integração da Klue nos ambientes das vítimas. A partir daí, gerou tokens OAuth válidos e automatizou a extração de dados utilizando scripts. Em um intervalo aproximado de 24 horas, o invasor conseguiu puxar um volume considerável de registros do Salesforce por meio da API REST, sem acionar, em muitos casos, alertas imediatos.
A operação reproduz o mesmo padrão de abuso de integrações OAuth de terceiros observado em incidentes anteriores envolvendo o ecossistema Salesforce, como os casos de Salesloft, Drift e Gainsight em 2025 e 2026. Em todos esses episódios, o foco não era comprometer diretamente as contas de usuários finais, mas explorar integrações já confiáveis e com acesso amplo para escoar dados silenciosamente.
O pesquisador Thassanai McCabe, da ReliaQuest, ressaltou que integrações SaaS consideradas de confiança seguem sendo um vetor de alto impacto e, ao mesmo tempo, pouco monitorado para o acesso a informações críticas. Ele destaca a necessidade crescente de tratar “identidades não humanas” – como contas de serviço, aplicações conectadas e integrações – com o mesmo rigor de segurança aplicado a usuários humanos privilegiados.
Como o ataque foi executado
Os responsáveis pela intrusão recorreram a scripts em Python, identificáveis pelo user-agent “Python-urllib”. Primeiro, realizaram a enumeração do catálogo de objetos de cada organização Salesforce comprometida, utilizando o endpoint:
`GET /services/data/v59.0/sobjects`
Esse passo permitiu ao invasor mapear quais objetos estavam disponíveis (contas, contatos, oportunidades, leads, casos etc.) e planejar quais conjuntos de dados seriam alvos prioritários. Em seguida, o atacante passou a executar consultas repetitivas contra o endpoint de query do Salesforce:
`/services/data/v59.0/query`
Essas consultas foram orquestradas em loop, gerenciando paginação e grandes volumes de resultados, evidenciando um processo automatizado de coleta massiva. Em um ambiente analisado, quase mil queries foram registradas em apenas 15 minutos. Em outro cenário, a extração se estendeu por mais de seis horas contínuas, o que indica uma operação planejada para sugar o máximo de registros possível, sem interrupções.
Escala do incidente e incertezas
A ReliaQuest chama atenção para o ritmo e o volume das requisições: o padrão de uso da API está muito acima do esperado para uma integração de rotina. Em vez de sincronizações incrementais ou consultas pontuais, o tráfego observável é típico de uma recuperação de dados em massa, com forte foco em exfiltração e não em operação legítima de negócio.
As credenciais da integração Klue aparentemente não foram falsificadas – eram válidas e legítimas -, o que permitiu ao atacante operar “pela porta da frente”, removendo dados sigilosos sem disparar bloqueios imediatos. A análise conclui que a extração de dados é fato confirmado; no entanto, o escopo exato das informações roubadas, o vetor inicial que deu acesso a essas credenciais e a finalidade última dos incidentes ainda estão em apuração.
Campanhas anteriores contra Salesforce e integrações como Salesloft, Drift e Gainsight foram associadas a grupos de cibercrime como ShinyHunters e UNC6395. No caso recente envolvendo a Klue, porém, os investigadores afirmam não ter evidências suficientes para confirmar ou descartar a participação desses mesmos atores. O objetivo e a metodologia lembram as operações atribuídas ao ShinyHunters, mas alguns elementos técnicos diferem.
Um desses elementos é o uso de um user-agent genérico e de infraestrutura hospedada em data centers convencionais, em vez de redes anônimas como Tor. Isso pode indicar a atuação de um operador distinto ou, alternativamente, que a técnica de abusar de integrações OAuth de terceiros se popularizou e vem sendo adotada por múltiplos grupos maliciosos.
Por que integrações de SaaS se tornaram alvo preferencial
O episódio com a Klue evidencia uma tendência clara: o elo mais fraco nem sempre é o usuário final, mas a cadeia de integrações que conecta diversas plataformas SaaS. Empresas modernas dependem de dezenas – às vezes centenas – de conectores para orquestrar vendas, marketing, atendimento, finanças e operações. Cada integração adiciona mais uma superfície de ataque.
Essas contas de serviço costumam ter permissões amplas, como leitura de todos os registros de leads ou oportunidades, e frequentemente não estão submetidas a autenticação multifator, rotação frequente de segredos ou monitoramento comportamental. Em muitos casos, uma única credencial de integração comprometida abre caminho para o acesso a anos de histórico de relacionamento com clientes, projeções de receita e dados estratégicos de mercado.
Além disso, integrações bem-sucedidas raramente chamam a atenção: geram tráfego previsível, rodam em horários amplos e executam justamente o tipo de operação que as equipes de segurança esperam ver, como consultas e sincronização de dados. Isso cria um ambiente ideal para exfiltração discreta caso um invasor consiga se infiltrar em uma dessas contas.
Impacto potencial para negócios
Quando uma integração como a da Klue é abusada, o dano vai muito além de um simples vazamento. Em ambientes Salesforce, podem ser expostos:
– Bases completas de clientes e prospects;
– Pipeline de vendas e valores projetados de contratos;
– Detalhes sobre estratégia comercial, descontos e políticas de preço;
– Conversas históricas com clientes e anotações sensíveis;
– Dados pessoais de contatos, passíveis de implicações regulatórias.
O risco não se limita à perda de confidencialidade: criminosos podem comercializar esses dados, usá-los para fraudes direcionadas, ataques de engenharia social altamente personalizados ou espionagem corporativa. Empresas passam a lidar com possível perda de vantagem competitiva, quebra de confiança com clientes e parceiros, além de obrigações legais de notificação a autoridades de proteção de dados, dependendo da jurisdição.
Recomendações imediatas para quem usa Klue e integrações similares
A ReliaQuest orienta organizações que utilizam a Klue ou integrações de terceiros com acesso ao Salesforce a adotarem, sem demora, três linhas de ação prioritárias:
1. Revogar e rotacionar credenciais e tokens
Todas as credenciais relacionadas à integração da Klue devem ser redefinidas e reemitidas. Isso inclui a senha da conta de serviço, refresh tokens, client secrets e qualquer concessão OAuth ativa. A revogação do refresh token é considerada crítica, pois é ele que permite ao atacante manter acesso persistente, mesmo após a expiração de tokens de sessão.
2. Revisar detalhadamente a atividade da API do Salesforce
Equipes de segurança e administradores de CRM devem investigar picos inesperados no volume de chamadas à REST API, padrões de paginação em grandes lotes de dados e o uso do user-agent “Python-urllib”. Também é essencial cruzar endereços IP de origem com listas internas, identificando acessos vindos de faixas desconhecidas ou localizações geográficas inusitadas.
3. Restringir a API a infraestrutura conhecida
Sempre que possível, é recomendável implementar listas de permissões de IP (allowlist) para contas de integração e aplicações conectadas. A mesma abordagem pode ser aplicada às APIs integradas a ferramentas de monitoramento de segurança, SIEM e plataformas de orquestração (SOAR), garantindo que apenas infraestrutura corporativa ou provedores explicitamente confiáveis consigam chegar às interfaces sensíveis.
Medidas complementares de segurança para integrações SaaS
Além das ações emergenciais mencionadas, empresas podem reforçar sua postura de segurança com práticas adicionais:
– Limitação de escopo: revisar escopos OAuth e permissões concedidas às integrações, aplicando o princípio do mínimo privilégio.
– Revisão periódica de integrações: remover conectores obsoletos ou pouco usados, reduzindo a superfície de ataque.
– Autenticação forte para contas de serviço: sempre que suportado, aplicar políticas semelhantes às de usuários humanos privilegiados, com MFA e controles adicionais.
– Alertas comportamentais: configurar detecções específicas para padrões como grandes volumes de download, consultas em massa a objetos sensíveis e uso de user-agents incomuns.
– Separação de ambientes: limitar integrações mais permissivas a ambientes específicos, isolando dados mais críticos em instâncias com controles reforçados.
Como investigar se sua organização foi afetada
Empresas preocupadas com possível exposição via integração Klue ou outras integrações de terceiros podem seguir um roteiro básico de investigação:
1. Identificar todas as integrações ativas com o Salesforce e mapear quais usam contas de serviço com privilégio elevado.
2. Analisar logs de acesso e uso de API para os últimos meses, destacando períodos com volume atípico de consultas.
3. Cruzar IPs utilizados nas conexões com listas de indicadores de ameaça conhecidos.
4. Verificar consultas incomuns a objetos que normalmente não são consumidos pela integração oficial da ferramenta.
5. Revisar configurações de segurança, inclusive limites de taxa de requisição (rate limiting) e políticas de restrição de IP.
Caso sejam encontrados indícios de exfiltração, é importante acionar imediatamente o plano de resposta a incidentes, envolver as áreas jurídica e de privacidade de dados e iniciar a avaliação de impacto em clientes, parceiros e demais partes interessadas.
O papel dos fornecedores de SaaS na mitigação
Embora a responsabilidade final pela governança de acesso seja das organizações clientes, fornecedores de SaaS têm peso significativo na mitigação desses riscos. Eles podem:
– Fornecer visibilidade detalhada de uso de integrações, com dashboards e alertas nativos;
– Oferecer controles granulares de escopo e permissão para cada aplicação conectada;
– Implementar mecanismos de detecção de anomalias em nível de plataforma, sinalizando comportamento suspeito mesmo quando as credenciais são legítimas;
– Facilitar a rotação e a revogação de tokens em larga escala.
A pressão de clientes corporativos por mais transparência e recursos de segurança tende a aumentar, à medida que incidentes como o da Klue se tornam mais conhecidos.
Indicadores de Compromisso (IOCs) associados
A ReliaQuest publicou endereços IP observados na campanha como possíveis Indicadores de Compromisso (IOCs). Organizações podem incluí-los em seus mecanismos de detecção e bloqueio:
– 138.226.246[.]94
– 212.86.125[.]24
– 213.111.148[.]90
– 94.154.32[.]160
Monitorar e, se adequado, bloquear conexões dessas origens pode ajudar na prevenção de novas tentativas de exfiltração ou na identificação de acessos passados que tenham passado despercebidos.
Conclusão
O abuso da integração da Klue para extrair dados do Salesforce reforça uma mensagem que já vinha ganhando força no universo de segurança: a proteção de identidades não humanas e de integrações SaaS é tão estratégica quanto a defesa de contas de usuários. Em um cenário em que plataformas na nuvem são hiperconectadas, qualquer elo com acesso amplo pode se transformar, rapidamente, em um canal silencioso de roubo de informações.
Organizações que convivem com múltiplas integrações precisam combinar medidas técnicas (como restrição de IP, rotação de tokens e monitoramento de APIs) com governança contínua sobre quais aplicações têm acesso a quê, por quanto tempo e com qual justificativa de negócio. O caso Klue-Salesforce funciona como um alerta para que esse debate deixe de ser teórico e passe a se refletir, de forma concreta, em políticas, processos e controles do dia a dia.