Klue-Hack: OAuth-Tokens kompromittiert, elf Sicherheitsfirmen betroffen
25.06.2026 - 23:31:16 | boerse-global.de
Unbefugte erbeuteten OAuth-Tokens und drangen in Salesforce-Umgebungen mehrerer IT-Sicherheitsanbieter ein.
Kompromittierte Altdaten als Einfallstor
Der Angriff ereignete sich am 12. Juni 2026. Die Täter verschafften sich über veraltete Zugangsdaten aus einem Pilotprojekt von 2022 Zugriff auf das System. Anschließend entwendeten sie OAuth-Tokens, die für die Integration zwischen Klue und Salesforce genutzt wurden.
Die Tokens ermöglichten direkten Zugriff auf die CRM-Umgebungen der betroffenen Kunden. Salesforce deaktivierte die Anwendung „Klue Battlecards“ am 17. Juni, um weiteren Schaden abzuwenden. Klue beauftragte den Sicherheitsdienstleister CrowdStrike mit der Untersuchung.
Namhafte Cybersecurity-Anbieter betroffen
Der Passwort-Manager LastPass bestätigte am 23. Juni einen Datenabfluss. Geschäftliche Kontaktdaten wie Namen, Telefonnummern, E-Mail-Adressen sowie Support-Fälle und Vertriebsinformationen aus Salesforce seien abgeflossen. Die Passwort-Tresore der Nutzer blieben unangetastet – sie werden in einer getrennten Infrastruktur verwaltet.
Auch das deutsche Unternehmen Link11 meldete Zugriff auf seine CRM-Daten. Betroffen sind geschäftliche Kontaktdaten und vertriebsbezogene Informationen. Kernsysteme und Kundenumgebungen seien sicher. Weitere betroffene Unternehmen: Huntress, HackerOne, Snyk, Jamf, Tanium, Recorded Future, Gong, OneTrust, Sprout Social und Insurity.
Der Klue-Hack zeigt: Stehende OAuth-Berechtigungen in SaaS-Ökosystemen sind ein massives Risiko. Elf Sicherheitsfirmen verloren Kontaktdaten und Vertriebsinformationen – gezielte Phishing-Angriffe folgten. Mit unserem Leitfaden minimieren Sie solche Risiken: Checkliste für Least Privilege, API-Überwachung und Incident-Response-Vorlage. Jetzt kostenlosen Leitfaden anfordern
Erpressergruppe Icarus veröffentlicht Daten
Hinter dem Angriff steckt die Gruppierung „Icarus“ (auch bekannt als „mr bean“). Sie ist seit April 2026 aktiv und setzt auf doppelte Erpressung. Am 23. Juni begann Icarus, Datensätze von sechs Klue-Kunden auf einer eigenen Leak-Seite zu veröffentlichen.
Die gestohlenen Informationen umfassen neben Kontaktdaten auch Notizen zu Verkaufschancen und Abonnementdetails. Das Risiko für gezielte Phishing-Angriffe und Social Engineering ist erheblich. Bereits nutzen Angreifer gefälschte Domains, um mit den erbeuteten Daten Betrug zu begehen.
Ruf nach strengeren Sicherheitsstandards
Nach dem Klue-Datenleck veröffentlichte die Erpressergruppe Icarus gestohlene Datensätze – Ihr Unternehmen könnte das nächste Ziel sein. Erfahren Sie, wie Sie mit kontinuierlicher API-Überwachung und kurzlebigen Tokens Ihre SaaS-Integrationen absichern. Sicherheits-Leitfaden jetzt sichern
Der Vorfall zeigt die Risiken dauerhafter Berechtigungen in SaaS-Ökosystemen. Experten kritisieren, dass stehende OAuth-Berechtigungen oft unzureichend überwacht werden. Gefordert wird eine Abkehr von fragebogenbasierten Risikobewertungen hin zu kontinuierlichen technischen Prüfungen.
Unternehmen sollten das Prinzip der minimalen Rechtevergabe (Least Privilege) anwenden und auf kurzlebige Tokens umstellen. Integrationen müssen regelmäßig auditiert, abnormale API-Abfragen überwacht werden. LastPass und Link11 haben bereits reagiert: Sie widerriefen betroffene Tokens, beendeten Mitarbeiterzugänge und informierten Datenschutz- sowie Strafverfolgungsbehörden.
