# Integração Klue foi usada para roubar dados do Salesforce

> https://www.cisoadvisor.com.br/integracao-klue-foi-usada-para-roubar-dados-do-salesforce/

Uma integração comprometida da plataforma Klue, especializada em inteligência competitiva, foi utilizada para exfiltrar dados de CRM (Customer Relationship Management) de ambientes empresariais, de acordo com um relatório publicado pela ReliaQuest no dia 17 de junho. A Klue é uma plataforma que conecta ferramentas como Salesforce, Slack e [Microsoft](https://www.cisoadvisor.com.br/microsoft-lanca-nova-atualizacao-de-emergencia-para-windows-11/) Teams para centralizar e distribuir inteligência competitiva, permitindo que equipes de vendas acessem “battlecards” e insights diretamente nos sistemas que já utilizam. O atacante autenticou-se nas contas de serviço da integração Klue das vítimas, gerou tokens OAuth e executou scripts automatizados para extrair grandes volumes de registros do Salesforce por meio da API REST, em um período de aproximadamente 24 horas.

A atividade [**segue**](https://reliaquest.com/blog/threat-spotlight-integration-abused-in-crm-data-theft) o mesmo manual de abuso de OAuth de terceiros observado em campanhas anteriores contra a Salesforce, como os comprometimentos das integrações Salesloft Drift e Gainsight em 2025 e 2026. O pesquisador Thassanai McCabe, da ReliaQuest, destacou que “integrações de SaaS confiáveis continuam sendo uma rota de alto valor e pouco monitorada para dados sensíveis”, reforçando a necessidade de vigilância sobre identidades não humanas.

O atacante utilizou scripts em Python, identificáveis pelo user-agent “Python-urllib”, para primeiro enumerar o catálogo de objetos da organização via `GET /services/data/v59.0/sobjects` e, em seguida, executar consultas em loop contra o endpoint de query do Salesforce (`/services/data/v59.0/query`). Em pelo menos um ambiente, foram observadas quase mil consultas em um intervalo de 15 minutos, enquanto em outro caso a extração se estendeu por mais de seis horas, indicando uma operação de coleta massiva de dados.

### Ameaça e contexto

O ReliaQuest alerta que o volume e o ritmo das consultas apontam para uma recuperação de dados em massa, e não para o tráfego de integração rotineiro. As [credenciais](https://www.cisoadvisor.com.br/vazamento-expoe-149-milhoes-de-credenciais/) legítimas da integração foram usadas para remover silenciosamente registros do CRM em [grande escala](https://www.cisoadvisor.com.br/deutsche-bahn-sofre-ataque-ddos-de-grande-escala/) através de uma porta que já estava aberta. A ReliaQuest afirma que “a exfiltração é confirmada; o escopo total, o vetor de acesso inicial e a intenção dos incidentes ainda estão sendo estabelecidos”.

Embora [ataques](https://www.cisoadvisor.com.br/relatorio-arctic-wolf-ataques-de-extorsao-sem-criptografia-disparam/) anteriores contra Salesforce, Salesloft Drift e Gainsight tenham sido atribuídos aos grupos ShinyHunters e UNC6395, a ReliaQuest não encontrou evidências suficientes para confirmar ou descartar o envolvimento desses atores neste caso específico. O relatório observa que, embora o objetivo e a abordagem se assemelhem às campanhas do ShinyHunters, o uso de um user-agent genérico e hospedagem em data centers, em vez de Tor, sugere que pode ser um operador diferente ou uma adoção generalizada da técnica.

### Recomendações e ações

A ReliaQuest recomenda que organizações usando Klue ou integrações similares conectadas ao Salesforce adotem três medidas imediatas:

1. **Revogar e rotacionar credenciais e tokens:** Resetar e reemitir todos os itens vinculados à integração Klue, incluindo senha da conta de serviço, refresh tokens, client secrets e concessões OAuth ativas. A revogação do refresh token é crucial para cortar o acesso persistente.
2. **Revisar a atividade da API do Salesforce:** Investigar volumes incomuns de consultas REST API, paginação repetida em grandes conjuntos de resultados, o user-agent “Python-urllib” e acessos de endereços IP não familiares.
3. **Restringir acesso à API a infraestrutura conhecida:** Implementar listas de permissões (allowlisting) de IP para contas de integração de terceiros e aplicativos conectados, e aplicar a mesma restrição a APIs de SIEM e SOAR.

**Indicadores de Compromisso (IOCs) fornecidos pela ReliaQuest:**

- 138.226.246[.]94
- 212.86.125[.]24
- 213.111.148[.]90
- 94.154.32[.]160