Klue-Hack: Icarus-Gruppe stiehlt CRM-Daten von elf Sicherheitsfirmen
22.06.2026 - 17:55:15 | boerse-global.de
Die als Icarus bekannte Hackergruppe verschaffte sich über alte, nicht gelöschte Test-Zugangsdaten Zugriff auf die Salesforce-Umgebungen mehrerer namhafter Unternehmen. Cyber-Sicherheitsfirmen bestätigten den Datenabfluss.
Der aktuelle Vorfall bei Klue zeigt drastisch, wie schnell vergessene Zugänge zur Gefahr werden können. Unser Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen zum Schutz Ihres Unternehmens erfüllen. IT-Sicherheit stärken und Bedrohungen abwenden
OAuth-Token als Einfallstor
Der Angriff flog am 12. Juni 2026 auf. Die Täter nutzten sogenannte Legacy-Test-Credentials – Zugangsdaten für Testumgebungen, die nach Projektende nie deaktiviert wurden. Damit erlangten sie OAuth-Tokens, die dauerhaften Zugriff auf verbundene Anwendungen ermöglichen – ganz ohne Passwort.
Die Angreifer setzten automatisierte Python-Skripte ein, um über die Salesforce REST API massenhaft Daten abzugreifen. Besonders auffällig: In einem Fall führten sie fast 1.000 Abfragen innerhalb von 15 Minuten aus. Branchenkenner sehen Parallelen zu früheren Angriffen auf das Salesforce-Ökosystem.
Das eigentliche Problem: „Schlafende" OAuth-Tokens, die in verbundenen Anwendungen aktiv bleiben, selbst wenn sie niemand mehr nutzt. Ein klassisches Identity-Governance-Problem, das viele Unternehmen unterschätzen.
Betroffene Unternehmen und gestohlene Daten
Die Liste der betroffenen Firmen liest sich wie ein Who's who der Cybersicherheits-Branche:
- Recorded Future, Tanium, Snyk, Jamf, HackerOne
- Huntress, OneTrust, Sprout Social, Insurity, ReliaQuest
- Auch Gong bestätigte einen Zugriff auf seine Umgebung
Die gestohlenen Daten umfassen vor allem geschäftliche Kontaktinformationen: Namen, E-Mail-Adressen, Telefonnummern, Positionen und Firmenanschriften. In einigen Fällen erbeuteten die Hacker auch sensible Vertriebsdaten wie Preisangebote, Abonnementdetails, Vertriebskommunikation und interne Opportunity-Notizen.
Die betroffenen Unternehmen betonen: Der Vorfall beschränkt sich auf CRM-Daten. Es gibt keine Hinweise auf kompromittierte Produktinfrastruktur, Telemetriedaten, Passwörter oder Zahlungsinformationen.
Immer mehr Unternehmen werden Opfer von Cyberangriffen durch gezielte Ausnutzung technischer Schwachstellen. Erfahren Sie in diesem kostenlosen Report, welche proaktiven Maßnahmen Experten empfehlen, um Ihr Unternehmen wirksam abzusichern. Kostenlosen Cyber-Security-Leitfaden jetzt herunterladen
Gegenmaßnahmen und Erpressungsdrohung
Klue reagierte umgehend: Das Unternehmen deaktivierte die Integrationen zu Salesforce, HubSpot, Slack, Google Drive, Zoom und SharePoint. Die Cybersicherheitsfirma CrowdStrike wurde mit der forensischen Untersuchung beauftragt, die Strafverfolgungsbehörden sind eingeschaltet.
Salesforce selbst griff am 17. Juni ein und deaktivierte die Klue-Battlecards-Integration, um weiteren unbefugten Zugriff zu unterbinden.
Sicherheitsexperten raten CISOs dringend:
- Alle OAuth-Tokens von Klue sofort widerrufen
- Salesforce-Umgebungen auf ungewöhnliche API-Aktivitäten prüfen
Die Icarus-Gruppe hat die Verantwortung übernommen und droht, die gestohlenen Daten heute, am 22. Juni 2026, zu veröffentlichen – sollten ihre Forderungen nicht erfüllt werden. Bislang wurden jedoch weder Lösegeldforderungen noch konkrete Datenproben auf dem Leak-Portal der Gruppe veröffentlicht.
