Klue供应链攻击致LastPass等公司客户数据泄露

axios.com

攻击经过

2026年6月11日，攻击者利用泄露的遗留凭证侵入Klue后端服务器，推送恶意代码更新，用于收集与客户集成相关的OAuth令牌。Klue于6月12日发现异常活动，立即停用所有客户的OAuth令牌，禁用与Salesforce、HubSpot、SharePoint、Zoom、Gong、Google Drive等平台的集成。

据网络安全公司ReliaQuest称，攻击者在24小时内滥用Salesforce REST API窃取大量CRM数据，包括“15分钟内密集发起近千次查询，以及持续6小时以上的数据提取”。Salesforce确认问题仅限于Klue应用连接，并非Salesforce平台本身存在漏洞，并于6月17日禁用Klue Battlecards集成。

受害者遍及网络安全行业

受影响组织名单迅速扩大。Huntress、Recorded Future、Tanium、Jamf、HackerOne、Kudelski Security、Snyk、Insurity和Sprout Social均已披露CRM数据通过被篡改的集成被访问。Klue首席执行官Jason Smith在6月20日的博客中承认攻击事件，称“攻击者通过一个与集成服务关联的泄露遗留凭证获得访问权限”，并利用该凭证获取连接Klue与第三方应用的OAuth令牌。

LastPass也确认受影响。该公司在博客中表示，黑客从其Salesforce环境中获取了客户姓名、电话号码、电子邮件地址、物理地址、支持案例数据和销售相关信息。LastPass强调其核心产品、基础设施和客户密码保险库未受影响。

新勒索组织浮出水面

Huntress将此次攻击归因于Icarus，该勒索组织于2026年4月底出现。攻击者使用别名“mr bean”联系受害者，并将其引导至与Icarus泄露网站关联的Session Messenger ID。该组织公开威胁，若未支付赎金将泄露窃取的数据。Klue已聘请CrowdStrike协助调查和响应。