A plataforma de inteligência de mercado Klue sofreu uma violação de segurança relacionada ao OAuth, permitindo que o grupo de ameaças conhecido como ‘Icarus’ roubasse dados do Salesforce CRM de várias organizações. O ataque foi confirmado por empresas de cibersegurança, como ReliaQuest e Huntress, que relataram que seus dados do Salesforce foram comprometidos. Em resposta, a Salesforce desativou a integração do Klue Battlecards com sua plataforma. Os atacantes acessaram contas de serviço da integração do Klue e utilizaram tokens OAuth para realizar consultas na API REST do Salesforce, resultando em um roubo de dados que incluiu informações críticas como contatos comerciais e comunicações de vendas. O grupo Icarus, que começou a operar em abril de 2026, já começou a enviar e-mails de extorsão para as vítimas do ataque. A Klue desativou as integrações com várias plataformas enquanto investiga o incidente. As organizações afetadas são aconselhadas a revisar logs e revogar tokens OAuth para mitigar riscos futuros.
Fonte: https://www.bleepingcomputer.com/news/security/klue-oauth-breach-linked-to-icarus-salesforce-data-theft-attacks/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
18/06/2026 • Risco: ALTO
VAZAMENTO
Grupo Icarus rouba dados do Salesforce em ataque à Klue
RESUMO EXECUTIVO
O ataque ao Klue, que resultou no roubo de dados do Salesforce, destaca a vulnerabilidade de integrações de terceiros e a necessidade de vigilância contínua. A extorsão por parte do grupo Icarus representa um risco significativo para empresas que utilizam essas plataformas, exigindo ações rápidas para mitigar danos e proteger informações sensíveis.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a extorsão e comprometimento de dados.
Operacional
Roubo de dados do Salesforce, incluindo informações de CRM e comunicações de vendas.
Setores vulneráveis
['Tecnologia', 'Vendas', 'Serviços financeiros']
📊 INDICADORES CHAVE
Quase mil consultas em um intervalo de 15 minutos em um ambiente.
Indicador
Atividade de exfiltração observada por 6 horas em outro caso.
Contexto BR
Várias organizações afetadas, incluindo Huntress.
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar logs do Salesforce e de integrações relacionadas para atividades suspeitas.
2
Revogar e rotacionar tokens OAuth imediatamente.
3
Monitorar continuamente atividades na API do Salesforce e logs de acesso.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dados sensíveis e a proteção contra extorsões, especialmente em plataformas amplamente utilizadas como o Salesforce.
⚖️ COMPLIANCE
Implicações na conformidade com a LGPD, especialmente em relação ao vazamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
