Der Kundschaft des CRM-Anbieters Salesforce sieht sich einer neuen Cybergefahr gegenüber. Aufgrund einer Fehlkonfiguration in einer Drittanbieter-App konnten Angreifer auch Salesforce-Datensätze abzügeln. Das US-Unternehmen hat die Integration mit der Klue-App mittlerweile deaktiviert.

Die App des kanadischen Anbieters Klue erlaubt es unter anderem Salesforce-Kunden, mit ihren Geschäftsdaten eigene Marktforschung zu betreiben. Dabei werden die Kundendaten mit denen von Wettbewerbern verglichen. Die App benötigt dafür weitreichende Rechte. Klue registrierte eigenen Angaben zufolge erstmals am 11. Juni ungewöhnliche Aktivitäten auf seiner Plattform, während denen Unbefugte Zugriff auf Kundendaten hatten.

In einem Blogpost skizziert Klue-CEO Jason Smith das Vorgehen der Cyberkriminellen: "Die Angreifer nutzten den Zugriff, um OAuth-Token zu erlangen, mit denen Klue mit bestimmten Plattformen von Drittanbietern, darunter Salesforce, verbunden war. Anschliessend verschafften sie sich Zugriff auf Daten in einer Reihe von verbundenen Kundenumgebungen."

Zu dem Angriff hat sich die Erpressergruppe Icarus bekannt, die erst seit Ende April aktiv ist. Sie nutzte einer Analyse der Sicherheitsfirma Reliaquest zufolge automatisierte Python-Skripte, um über die Salesforce-Schnittstelle innerhalb kürzester Zeit Kundendaten in grossem Umfang abzurufen. Reliaquest berichtet von annähernd 1000 Abfragen innerhalb von 15 Minuten, wobei einige Angriffe aber auch sechs Stunden dauerten. Als Klue die Aktivitäten bemerkte, wurden die kompromittierten Tokens umgehend deaktiviert und die Zugänge gesperrt, versichert CEO Smith.

Unterdessen ist allerdings Icarus aktiv geworden. Im Darknet listet die Gruppe Dutzende Firmen und Organisationen, deren Salesforce-Instanzen von dem Datenabfluss betroffen sind. Die Hacker fordern Klue auf, sich für eine Beseitigung des Schadens mit ihnen in Verbindung zu setzen. Andernfalls will sich Icarus an die betroffenen Firmen selbst wenden und Lösegeld fordern.