La compromissione della catena di fornitura Klue-Salesforce, emersa l'11-12 giugno 2026, ha superato la soglia dei due dozzini di vittime confermate mentre assume una piega inedita per l'economia criminale digitale: il gruppo estorsore Icarus, che aveva rivendicato l'attacco, risulterebbe a sua volta stato violato. Secondo quanto Klue avrebbe comunicato ai propri clienti, i dati sottratti sarebbero finiti nelle mani di un secondo attore minaccia attualmente impegnato in una campagna di estorsione autonoma. L'episodio espone la fragilità strutturale del modello "paga e cancella", dove la moneta di scambio — i dati rubati — non è più controllata da un unico detentore.
- Roughly two dozen aziende hanno confermato la compromissione delle proprie istanze Salesforce, tra cui AlertMedia, Blackbaud, Camunda, Cresta, Deel, Lucanet, Link11 e Tines
- L'accesso iniziale è avvenuto tramite credenziali legacy compromesse associate a un servizio di integrazione, secondo la ricostruzione del CEO di Klue Jason Smith
- Huntress ha tracciato circa 900 query API Salesforce con User-Agent Python, confermando il meccanismo di furto dei token OAuth e successiva esfiltrazione bulk
- Klue avrebbe informato i clienti che Icarus è stato hackerato e che i dati sottratti alimentano ora una seconda campagna estorsiva da parte di un attore non identificato
La catena di attacco: da credenziale legacy a esfiltrazione massiva
L'11-12 giugno 2026 un attore ha ottenuto accesso alla piattaforma Klue sfruttando credenziali legacy compromesse legate a un servizio di integrazione. La dichiarazione del CEO Jason Smith, riportata da BleepingComputer, specifica che l'aggressore ha utilizzato tale accesso per acquisire token OAuth utilizzati per connettere Klue con piattaforme terze, incluso Salesforce, e ha successivamente estrapolato dati da numerosi ambienti cliente connessi.
Le evidenze raccolte da Huntress confermano la ricostruzione. I ricercatori hanno osservato circa 900 query dirette all'endpoint API Salesforce /services/data/v59.0/query/, tutte originanti da un User-Agent Python. Il pattern indica un'estrazione automatizzata e su larga scala, non accessi sporadici o mirati a singoli record. L'infrastruttura dell'attaccante è stata tracciata a indirizzi IP nei Paesi Bassi, Francia e Ucraina, mentre le email di estorsione sono state instradate attraverso server di posta compromessi di una rete retail australiana.
Salesforce ha disabilitato l'integrazione Klue il 17 giugno 2026. Al 26 giugno l'integrazione non è stata riattivata. Anche Gong ha proceduto alla disabilitazione del connettore Klue. La misura, sebbene contenitiva, non recupera i dati già esfiltrati.
Il contagio delle vittime: da nove a ~24 conferme in quattro giorni
La mappa delle vittime si è espansa rapidamente. Le prime conferme, documentate da BleepingComputer e MLQ.ai entro il 22 giugno, includevano HackerOne, Huntress, Jamf, Recorded Future, Snyk, OneTrust, Tanium, Sprout Social, Gong e Insurity. Entro il 26 giugno SecurityWeek ha aggiunto altre otto aziende: AlertMedia, Blackbaud, Camunda, Cresta, Deel, Lucanet, Link11 e Tines.
Sprout Social ha pubblicato un advisory diretto che conferma l'accesso non autorizzato ai propri dati Salesforce nel fine settimana dell'11-12 giugno, specificando le categorie interessate: dettagli di contatto business, informazioni organizzative e di account, record commerciali CRM. La società ha esplicitato che dati di prodotto o piattaforma non sono stati coinvolti. HackerOne, in una dichiarazione citata da MLQ.ai, ha precisato che "nessun dato di vulnerabilità cliente è permesso nei nostri sistemi CRM", circoscrivendo il rischio specifico per il proprio business.
SecurityWeek riporta un dato non specificato da altre fonti: l'incidente avrebbe coinvolto 195 clienti Klue, anche se il secondo gruppo estorsore avrebbe sottratto solo "sample data" da Icarus. Tale cifra non trova conferma indipendente nel dossier e rimane attribuita a report non meglio specificati.
"Klue reportedly told customers that Icarus themselves were hacked, and that the stolen data is now in the hands of another threat actor, which is running its own extortion campaign." — SecurityWeek, citando TechCrunch
L'economia criminale si mangia se stessa: Icarus compromesso
L'elemento di rottura strutturale è la presunta compromissione di Icarus stesso. Il gruppo, attivo sulla scena estorsiva con un leak site che al 26 giugno risultava irraggiungibile da circa due giorni, sarebbe stato violato con conseguente dispersione dei dati sottratti. SecurityWeek attribuisce l'informazione a TechCrunch: Klue avrebbe informato direttamente la propria base clienti della circostanza.
Il meccanismo introduce una variabile inedita nei calcoli delle vittime. Il presupposto implicito del pagamento riscatto — che il dato venga cancellato dall'aggressore — si dissolve quando il materiale cambia detentore senza che il pagante possa verificarne la distruzione. Nessun gruppo estorsore diverso da Icarus ha pubblicamente rivendicato la disponibilità dei dati Klue al momento del reportage, il che non esclude la circolazione privata o la vendita in mercati secondari.
Il sito di Icarus resta offline. Le cause — negoziazione, takedown o malfunzionamento tecnico — non sono determinate dal dossier. La fonte non specifica se Klue abbia corrisposto riscatto a Icarus o al secondo attore, né se le forze dell'ordine stiano indagando sulla compromissione del gruppo criminale.
Perché è importante
Il dossier non documenta misure correttive specifiche adottate da Klue oltre all'engagement di CrowdStrike per l'analisi forense, già confermato da BleepingComputer e MLQ.ai. La fonte non specifica la natura completa dei dati esfiltrati dal secondo attore, né fornisce indicatori di compromissione tecnici utilizzabili per la ricerca attiva nelle reti.
L'assenza di un advisory di sicurezza pubblicato direttamente da Klue o da un vendor di sicurezza primario (CrowdStrike non ha rilasciato report pubblico al momento del dossier) lascia irrisolti interrogativi operativi: il meccanismo di iniezione del codice malevolo nella piattaforma Klue, la durata esatta della persistenza, l'eventuale compromissione di integrazioni oltre Salesforce e Gong, la completezza della revoca dei token esposti.
Il limite più rilevante per le organizzazioni che hanno adottato Klue è l'impossibilità di verificare indipendentemente la claim della doppia compromissione. La fonte riporta la comunicazione Klue come "reportedly told customers", mantenendo un margine di incertezza che le vittime devono navigare nei propri calcoli di risposta all'incidente.
Domande frequenti
Qual è la differenza tra i ~24 confermati e i 195 allegati?
Roughly two dozen aziende hanno confermato pubblicamente o tramite comunicazione diretta la compromissione della propria istanza Salesforce. Il numero 195, relativo all'intera base clienti Klue potenzialmente coinvolta, proviene da report non specificati e non trova conferma indipendente nel dossier.
Il secondo attore ha pubblicamente rivendicato i dati?
No. Al 26 giugno 2026 nessun gruppo estorsore diverso da Icarus ha rivendicato pubblicamente la disponibilità dei dati Klue. La claim si limita alla comunicazione interna di Klue ai propri clienti.
L'integrazione Salesforce è sicura?
Salesforce ha disabilitato il connettore Klue il 17 giugno e non lo ha riattivato al 26 giugno. La fonte non specifica condizioni tecniche o temporali per una futura riabilitazione.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.securityweek.com/more-klue-breach-victims-identified-as-hackers-get-hacked/
- https://cyberscoop.com/cisco-sd-wan-zero-day-exploit-communications-provider/
- https://oodaloop.com/briefs/cyber/more-klue-breach-victims-identified-as-hackers-get-hacked/
- https://mlq.ai/news/klue-supply-chain-breach-exposes-salesforce-data-at-hackerone-huntress-and-seven-other-firms/
- https://www.bleepingcomputer.com/news/security/klue-oauth-breach-victim-list-grows-as-icarus-hackers-claim-attack/
- https://techcrunch.com/2026/06/17/cybercriminals-allegedly-hacked-tens-of-thousands-of-fortinet-firewalls-used-by-major-companies-all-over-the-world/
- https://techcrunch.com/2026/05/05/hackers-steal-students-data-during-breach-at-education-tech-giant-instructure/
- https://nvd.nist.gov/vuln/detail/CVE-2026-20127
- https://www.cve.org/CVERecord?id=CVE-2026-20182
- https://nvd.nist.gov/vuln/detail/CVE-2026-20245
- https://support.sproutsocial.com/hc/en-us/articles/46754555170701-Klue-Security-Incident-June-2026