Salesforce secara resmi telah menonaktifkan integrasi dengan platform Klue setelah terdeteksi adanya serangan rantai pasok yang mengeksploitasi token OAuth. Insiden ini terungkap setelah para pelaku ancaman menggunakan token yang dicuri untuk mengakses API REST Salesforce secara ilegal. Melalui akses tersebut, penyerang berhasil melakukan eksfiltrasi data dalam jumlah besar yang tersimpan dalam sistem manajemen hubungan pelanggan (CRM).
Berdasarkan pengamatan para peneliti keamanan siber, serangan ini melibatkan skrip otomatis yang beroperasi terus-menerus hingga 24 jam. Skrip tersebut dirancang untuk melakukan pengambilan data secara massal, mencakup kontak bisnis, penawaran harga, hingga pesan-pesan strategis terkait penjualan. Aktivitas ini berjalan tanpa terdeteksi karena dianggap sebagai lalu lintas dari integrasi pihak ketiga yang tepercaya.
Salah satu tantangan utama dalam insiden ini adalah mekanisme keamanan tradisional yang sering kali hanya berfokus pada akun pengguna manusia. Karena serangan berasal dari identitas non-manusia yang sudah terverifikasi, sistem pemantauan keamanan yang ada cenderung mengabaikan aktivitas mencurigakan tersebut. Hal ini memberikan celah lebar bagi penyerang untuk beroperasi lebih lama tanpa hambatan berarti.
Dampak dari serangan ini cukup luas, dengan sejumlah perusahaan keamanan siber ternama seperti Huntress, Jamf, Tanium, dan Recorded Future mengonfirmasi bahwa data bisnis mereka telah terdampak. Klue, sebagai penyedia integrasi yang menjadi titik masuk serangan, telah mengambil langkah responsif dengan mencabut kredensial yang terpengaruh, menonaktifkan integrasi dengan platform lain seperti Google Drive dan SharePoint, serta menghapus kode berbahaya dari sistem mereka.
Insiden ini menyoroti tren ancaman siber yang kian berkembang, di mana pelaku kejahatan siber semakin sering menargetkan penyedia layanan SaaS (Software as a Service). Dengan membobol satu vendor, penyerang dapat memperoleh akses simultan ke banyak lingkungan perusahaan melalui koneksi rantai pasok yang sudah dianggap aman oleh sistem perusahaan target.
Secara keseluruhan, serangan ini menjadi pengingat keras bagi para pelaku bisnis mengenai pentingnya audit keamanan pada integrasi pihak ketiga. Ketergantungan perusahaan pada ekosistem SaaS menuntut transparansi dan protokol keamanan yang lebih ketat, terutama dalam pengelolaan token OAuth dan identitas non-manusia agar kejadian serupa tidak terulang di masa depan.