📅 22–24 Haz 2026 · 📰 SharkStriker / TechCrunch / Klue Security Advisory · 🎯 Salesforce kullanan organizasyonlar (OAuth 3rd-party uygulama) · TLP:WHITE
Klue (rakip izleme + sales intelligence SaaS), Icarus ransomware grubu tarafından bir OAuth saldırısıyla ihlal edildi. Saldırganlar Klue'nun müşteri Salesforce hesaplarına bağlanmak için kullandığı OAuth access token'ı ele geçirdi.
Token ile saldırgan, Klue müşterilerinin Salesforce tenant'larına geçerli OAuth yetkisiyle bağlandı ve standart API çağrılarıyla CRM verisi çekti. Etkilenenler arasında HackerOne, Gong, Tanium, Huntress, OneTrust gibi büyük tech şirketleri var.
Sızdırılan veri kategorileri: müşteri adları, kurumsal e-postalar, telefon numaraları, iş ünvanları, satış notları, fiyat teklifleri, dahili satış iletişimi. PII açısından kritik olmasa da BD/satış stratejisi açısından çok hassas.
Bu olay OAuth scope yönetiminin temel zayıflığını ifşa ediyor: 3rd-party SaaS uygulamalarına verilen broad-scope token'lar genelde 'read all', 'manage all CRM data' gibi geniş izinlerle veriliyor — uygulama ihlal edildiğinde token herhangi sınır olmadan API çağrısı yapabiliyor. Salesforce Connected Apps + Microsoft365 OAuth + Google Workspace 3rd-party uygulamaları için aynı pattern her organizasyonda risk taşıyor.
Bizdeki etki: Banka Salesforce, Microsoft365 ve Google Workspace üzerinde aktif 3rd-party OAuth uygulamaları varsa benzer risk. Hangi vendor ne scope ile bağlı, audit log'da kaç çağrı yapıyor — gözden geçirilmeli.