Integração da Klue é explorada para roubo em massa de dados do Salesforce
Uma falha em uma integração da plataforma Klue, focada em inteligência competitiva para times de vendas, foi usada para extrair em grande escala informações armazenadas em instâncias corporativas do Salesforce. A conclusão é de um relatório técnico divulgado em 17 de junho pela ReliaQuest, que analisou a cadeia de ataque e confirmou a exfiltração de dados de CRM (Customer Relationship Management).
A Klue funciona como um hub de inteligência competitiva, conectando-se a sistemas como Salesforce, Slack e Microsoft Teams para entregar “battlecards”, análises de concorrência e insights diretamente no fluxo de trabalho das equipes comerciais. Essa conveniência – integrações profundas e acesso automatizado a dados de negócio – acabou se tornando, neste caso, a principal porta de entrada para o ataque.
De acordo com a investigação, o invasor conseguiu se autenticar nas contas de serviço usadas pela integração da Klue com o Salesforce nas organizações afetadas. A partir desse ponto, gerou tokens OAuth válidos e passou a utilizar scripts automatizados para fazer requisições contínuas à API REST do Salesforce, extraindo grandes volumes de registros em um intervalo aproximado de 24 horas.
O padrão observado repete o mesmo tipo de abuso de integrações de terceiros baseado em OAuth que já havia sido visto em campanhas anteriores envolvendo Salesforce, Salesloft, Drift e Gainsight nos anos de 2025 e 2026. Em todos esses cenários, o ponto fraco não era uma falha técnica óbvia no Salesforce em si, mas o uso malicioso de integrações legítimas, já aprovadas e com ampla permissão de acesso a dados sensíveis.
Thassanai McCabe, pesquisador da ReliaQuest, salientou que integrações SaaS consideradas confiáveis continuam sendo um vetor de altíssimo valor para cibercriminosos, justamente por serem pouco auditadas e por operarem como “identidades não humanas”. Ou seja, contas técnicas, de serviço ou de aplicativos, que movimentam grandes quantidades de dados em nome da empresa e normalmente recebem menos atenção das equipes de segurança do que contas de usuários finais.
Como o ataque foi conduzido
A análise de logs e do tráfego apontou que o atacante utilizou scripts em Python, identificáveis pelo user-agent “Python-urllib”. A cadeia de ataque seguiu um fluxo bastante sistemático. Primeiro, foi feita a enumeração do catálogo de objetos da organização no Salesforce, por meio de requisições ao endpoint de listagem de objetos. Em seguida, o operador passou a disparar, em loop, consultas ao endpoint de query, explorando a API para coletar o máximo possível de registros.
Em um dos ambientes monitorados, foram identificadas quase mil consultas em um intervalo de apenas 15 minutos, um ritmo incompatível com a atividade esperada de uma integração de uso cotidiano. Em outro caso, a extração de dados se estendeu por mais de seis horas, o que indica uma operação claramente orientada a coleta massiva, e não a sincronizações eventuais ou acessos pontuais.
A ReliaQuest destaca que o volume, a cadência e a forma de paginação de resultados são fortes evidências de que a intenção era recuperar praticamente tudo o que estivesse disponível no CRM via API. Como as credenciais usadas eram legítimas – associadas à integração com a Klue -, o tráfego malicioso não disparou, em um primeiro momento, os mesmos alertas que seriam acionados em tentativas de login suspeitas ou em falhas de autenticação.
Escopo e atribuição ainda em aberto
O relatório é categórico em afirmar que a exfiltração de dados foi confirmada. No entanto, o escopo real do incidente – quais empresas foram afetadas, quantos registros vazaram e que tipo de informação foi obtida – ainda está em processo de levantamento. Também seguem em aberto detalhes críticos, como o vetor de acesso inicial às credenciais da integração e a motivação exata do operador por trás da campanha.
Ataques anteriores explorando integrações do ecossistema Salesforce chegaram a ser associados a grupos como ShinyHunters e UNC6395, conhecidos por campanhas de roubo de dados corporativos e extorsão. No caso específico da integração da Klue, a ReliaQuest afirma não haver elementos suficientes, até o momento, para confirmar ou descartar o envolvimento desses mesmos atores.
O relatório observa, porém, que há semelhanças de objetivos e metodologia com operações atribuídas ao ShinyHunters. Por outro lado, o uso de um user-agent genérico e a opção por infraestrutura de data centers convencionais, em vez de roteamento via redes de anonimato, sugerem a possibilidade de um operador distinto ou, ao menos, de uma tática que já se disseminou entre múltiplos grupos de ataque.
Por que integrações de SaaS viraram alvo preferencial
O caso expõe uma fragilidade estrutural comum em ambientes que dependem fortemente de SaaS: a confiança quase automática depositada em integrações de terceiros. Esses conectores frequentemente recebem permissões amplas de leitura (e, em alguns casos, de escrita) no CRM, no e-mail corporativo e em repositórios de documentos, sem que isso seja acompanhado de controles rigorosos de monitoramento.
Além disso, tokens OAuth e segredos de aplicativos costumam ter longos períodos de validade e, se não forem revogados, podem permanecer ativos mesmo após mudanças de equipe, descontinuação de projetos ou substituição de fornecedores. Isso cria um cenário em que acessos antigos sobrevivem ao ciclo natural de revisões de acesso a contas humanas, como funcionários que entram ou saem da empresa.
Outro ponto crítico é que muitas equipes de TI e segurança ainda tratam integrações como algo “plug and play”, confiando no selo de parceria ou de compatibilidade oficial com plataformas como Salesforce ou Microsoft. Essa confiança, no entanto, não substitui a necessidade de políticas de menor privilégio, registros de auditoria detalhados e mecanismos de detecção específicos para comportamentos anômalos de aplicativos conectados.
Recomendações imediatas para clientes da Klue e ambientes similares
Diante do incidente, a ReliaQuest orienta que organizações que utilizam a Klue ou integrações equivalentes conectadas ao Salesforce tomem medidas urgentes em três frentes principais.
A primeira é a revogação e rotação completa de credenciais e tokens relacionados à integração. Isso inclui redefinir a senha da conta de serviço usada pela Klue, invalidar refresh tokens, substituir client secrets e cancelar todas as concessões OAuth ativas associadas a esse conector. A revogação dos refresh tokens é considerada ponto-chave, já que eles permitem a renovação silenciosa de sessões, mantendo o acesso por longos períodos sem nova autenticação interativa.
A segunda frente é uma revisão minuciosa da atividade da API do Salesforce. As equipes de segurança devem buscar volumes atípicos de chamadas à REST API, padrões de paginação repetitiva em grandes conjuntos de resultados, o uso do user-agent “Python-urllib” e conexões originadas de endereços IP não reconhecidos na rotina da empresa. Picos de consulta concentrados em janelas curtas podem indicar tentativa de exfiltração em massa.
O terceiro pilar é a restrição do acesso à API a uma infraestrutura conhecida. Isso envolve configurar listas de permissões de endereços IP (allowlist) para as contas de integração de terceiros e aplicativos conectados, garantindo que somente datacenters ou redes controladas pela própria empresa ou pelo fornecedor legítimo possam interagir com o Salesforce. A mesma lógica deve ser aplicada às APIs usadas por soluções de SIEM e SOAR, que também carregam alto privilégio de acesso a dados e eventos.
Indicadores de comprometimento e monitoramento contínuo
Para auxiliar na detecção de possíveis intrusões correlacionadas, a ReliaQuest publicou uma lista de endereços IP associados à atividade maliciosa observada. Administradores de segurança podem usar esses indicadores em sistemas de monitoramento, firewalls e ferramentas de análise de logs para identificar conexões passadas ou presentes que partam dessas origens.
Mais do que bloquear IPs isolados, contudo, especialistas ressaltam que a estratégia de defesa precisa considerar padrões de uso. Atividades como grandes volumes de consultas sequenciais, acesso a múltiplos objetos de CRM em curto intervalo e uso recorrente de bibliotecas automatizadas de requisição, como a stack padrão do Python, devem levantar suspeitas, especialmente quando originadas de contas de serviço.
Implementar dashboards específicos para o consumo da API do Salesforce, com alertas baseados em limiares e comportamento histórico de cada integração, é hoje uma boa prática recomendada. Isso permite identificar rapidamente desvios de padrão, mesmo quando o invasor usa credenciais totalmente válidas e não gera falhas de autenticação.
O que as empresas podem fazer além das ações emergenciais
Para além da resposta imediata ao incidente, o caso da Klue aponta para uma necessidade mais ampla: amadurecer a governança sobre integrações SaaS e identidades não humanas. Um primeiro passo é mapear, de forma centralizada, todos os aplicativos conectados ao Salesforce e a outros sistemas críticos, classificando seu nível de privilégio e seu propósito de negócio.
Esse inventário deve ser acompanhado de um processo recorrente de revisão de permissões. Aplicativos que não são mais usados precisam ser removidos, enquanto integrações ativas devem passar por avaliações periódicas de risco, incluindo análise do tipo de dado ao qual têm acesso, do regime de logs que geram e do processo de gestão de segredos e tokens adotado pelo fornecedor.
Outro eixo fundamental é incorporar o conceito de menor privilégio também para apps conectados: nem toda integração precisa de acesso irrestrito a todos os objetos e campos do CRM. Sempre que possível, o escopo de leitura e escrita deve ser limitado ao estritamente necessário para a funcionalidade oferecida, reduzindo o impacto potencial caso aquele conector seja comprometido.
Importância de proteger identidades não humanas
A expansão do uso de automação, integrações e APIs fez com que identidades não humanas se tornassem tão críticas quanto contas de usuários finais – ou, em muitos contextos, ainda mais. Essas identidades podem operar 24 horas por dia, trafegar grandes volumes de informação e manter acessos entre múltiplos sistemas estratégicos.
Proteger essas identidades passa por adotar políticas de rotação periódica de segredos, armazenamento seguro de chaves em cofres de credenciais, monitoração dedicada de comportamento e, sempre que possível, o uso de padrões modernos de autenticação com escopos bem definidos. Auditorias regulares devem verificar se tokens expirados estão de fato sendo invalidados e se não há integrações “órfãs” em produção, mantidas apenas por inércia.
Também é recomendável integrar dados de uso de APIs ao ecossistema de detecção e resposta da organização. Eventos de autenticação de aplicativos, criação de tokens, alterações de escopo e picos de chamadas devem ser correlacionados com outras evidências de possível comprometimento, como acessos suspeitos à infraestrutura de nuvem e comportamentos anômalos em estações de trabalho de desenvolvedores e administradores.
Impacto para clientes Salesforce e lições estratégicas
Embora ainda não se conheça a abrangência total do roubo de dados, o episódio serve de alerta para qualquer empresa que trate o Salesforce como repositório central de informações de clientes, oportunidades, contratos e pipelines de vendas. Uma vez extraídos, esses dados podem ser explorados em diferentes frentes: engenharia social altamente direcionada, espionagem corporativa, fraudes ou até esquemas de extorsão baseados na ameaça de vazamento público.
Do ponto de vista estratégico, o incidente reforça que a superfície de ataque moderna não é definida apenas pelo número de usuários, mas pela quantidade e profundidade das integrações em uso. Cada novo conector adicionado ao ambiente é, na prática, uma nova identidade com poderes relevantes sobre dados de negócio – e deve ser tratado com a mesma seriedade que uma conta administrativa.
Empresas que buscam fortalecer sua resiliência digital precisam, portanto, incluir as integrações SaaS no centro de suas políticas de segurança, em vez de tratá-las como elementos periféricos de conveniência. O caso da Klue e Salesforce mostra que, quando essa camada é ignorada, basta o comprometimento de um único elo para que uma quantidade significativa de informação corporativa seja silenciosamente drenada em questão de horas.