Ataque cibernético à Klue expõe dados de gigantes da cibersegurança e gera nova onda de extorsão

Em 11 de junho de 2026, teria ocorrido o início do ataque à plataforma Klue, que resultou na exposição de dados de mais de 200 organizações armazenados no Salesforce. Entre as vítimas estão empresas de cibersegurança como LastPass, HackerOne, Huntress, OneTrust e Tanium, além de outras companhias de tecnologia que utilizam a plataforma para gestão de clientes e dados corporativos.

O ataque não explorou uma falha no Salesforce. Segundo investigações divulgadas por empresas de segurança, o grupo Icarus teria utilizado uma credencial criada em 2022 e nunca revogada para acessar a infraestrutura da Klue. A partir desse acesso, os invasores teriam conseguido injetar código malicioso e realizar possível roubo de tokens OAuth válidos, possibilitando acesso aos ambientes Salesforce de clientes sem necessidade de senha ou autenticação adicional.

A atribuição ao ataque é feita por empresas de segurança como Huntress e ReliaQuest. Após o incidente inicial, um segundo grupo criminoso surgiu alegando ter obtido parte dos dados e passou a exigir novos pagamentos das mesmas vítimas. A Klue afirma que esse segundo grupo não possui a base completa das informações e recomenda que clientes não realizem pagamentos, orientando a solicitação de amostras aleatórias como prova de posse antes de qualquer negociação. As investigações seguem em andamento com o apoio de especialistas em resposta a incidentes.

▌ CYBERPROTEC INTELIGÊNCIA

O caso Klue mostra que dados roubados não permanecem estáticos. Eles circulam entre grupos criminosos, ampliando o risco de novas extorsões mesmo após o incidente inicial. O ponto crítico aqui não foi uma falha no Salesforce, mas sim uma credencial esquecida desde 2022 que abriu caminho para toda a cadeia do ataque.

Tokens OAuth e credenciais de API precisam ser tratados como ativos críticos. Sem auditoria constante e revogação rápida, eles se tornam portas permanentes para invasores. Quando um fornecedor é comprometido, o risco não se limita ao que ele armazena, mas a tudo o que ele pode acessar em nome do cliente. Segurança hoje exige governança total sobre quem acessa o quê no ecossistema digital.