Un grave attacco informatico ha colpito Klue, piattaforma canadese di market intelligence. Il 25 giugno 2026, il gruppo criminale Icarus ha dichiarato di aver eliminato i dati sottratti, ma nuove minacce da altri hacker persistono. La vicenda, iniziata il 12 giugno, ha sfruttato una credenziale legacy del 2022, mai revocata, permettendo agli aggressori di iniettare codice malevolo nel backend di Klue. Intercettati token OAuth e usati per estrarre dati sensibili dai CRM dei clienti, come Salesforce: nomi, contatti, email e comunicazioni di vendita.
Un'ampia rete di vittime nel settore tech
Tra le aziende colpite figurano nomi di spicco nella cybersecurity e nel SaaS: Gong, Jamf, HackerOne, Insurity, LastPass, OneTrust, Recorded Future, ReliaQuest, Snyk, Sprout Social, Tanium e Huntress. L'attacco ha confermato i rischi di una minaccia supply-chain: compromettere un fornitore ampiamente utilizzato espone numerosi obiettivi.
Icarus: dalla minaccia di pubblicazione alla presunta cancellazione
Il gruppo Icarus ha rivendicato l'attacco tramite un sito di leak, chiedendo un riscatto. La mancata adesione avrebbe comportato la pubblicazione dei dati. Il 25 giugno, Klue ha comunicato che Icarus avrebbe dichiarato di aver cancellato i dati rubati, ma ha evidenziato nuove minacce da altri attori.
La reazione delle aziende colpite
Le vittime hanno reagito prontamente. LastPass ha revocato i token e disconnesso da Klue. Salesforce ha disabilitato l'app Battlecards dopo attività anomale. Huntress ha chiarito che i dati compromessi erano solo informazioni di business del CRM, senza intaccare l'infrastruttura interna.
Lezioni apprese: criticità di OAuth e sicurezza dei fornitori
La vicenda evidenzia il rischio strutturale delle integrazioni SaaS: credenziali attive non monitorate sono punti di accesso pericolosi. OAuth ha funzionato, mostrando che l'intrusione ha colpito un fornitore integrato, non Salesforce. La sicurezza del CRM dipende dalla gestione degli accessi API. Cruciale una revisione rigorosa delle credenziali, monitoraggio continuo delle integrazioni e auditing sistematico dei permessi OAuth.
Aziende con procedure stringenti rischiano il vendor-of-vendor, con terze parti inattive che aprono a nuove esposizioni. La vicenda Klue-Icarus è un monito: integrazioni decennali possono celare vulnerabilità strategiche. La condivisione dei dati impone vigilanza costante e la revoca di ogni accesso obsoleto.
