Nicht jeder Perimeter sieht aus wie ein VPN-Gateway. Im SaaS-Zeitalter besteht er aus OAuth-Tokens, Connected Apps und API-Berechtigungen, die oft weniger streng überwacht werden als menschliche Admin-Konten. Genau dieses Muster zeigte sich im Juni bei der Kompromittierung der Klue-Battlecards-Integration für Salesforce.
Klue ist eine Competitive-Intelligence-Plattform, die sich mit Salesforce verbindet, um Battlecards, Win/Loss-Daten und CRM-Kontext in Vertriebsprozesse einzubetten. Laut ReliaQuest wurde eine kompromittierte Klue-Integration genutzt, um über OAuth-Tokens und automatisierte REST-API-Abfragen Salesforce-CRM-Daten zu exfiltrieren. Eine Salesforce-Schwachstelle stand dabei nicht im Mittelpunkt; missbraucht wurde eine bereits vertrauenswürdige Drittanbieter-Verbindung. Salesforce deaktivierte die Klue-Battlecards-Verbindungen vorübergehend und erklärte, es gebe keinen Hinweis auf eine Schwachstelle in der eigenen Plattform.
Technisch lief der Angriff weitgehend innerhalb legitimer SaaS-Mechanismen: OAuth-Tokens, Objekt-Enumeration, Query- und QueryMore-Aufrufe über die Salesforce REST API. ReliaQuest beobachtete in einer Umgebung eine Abfragekette über fast 24 Stunden; in einem anderen Fall fast tausend API-Queries innerhalb von 15 Minuten. Damit wird der persistente OAuth-Refresh-Token zur modernen Variante des gestohlenen VPN-Zugangs — nur oft schlechter überwacht.
Der Vorfall ist Teil eines größeren SaaS-Supply-Chain-Problems: Drittanbieter-Apps besitzen dauerhaft Zugriff auf CRM-, Vertriebs- und Kundendaten, während ihre Berechtigungen selten regelmäßig überprüft werden. Cybersecurity Dive berichtete, dass unter anderem LastPass, Recorded Future und Tanium Zugriffe auf bestimmte CRM- bzw. Geschäftskontaktdaten bestätigten; ihre Kernprodukte seien nach bisherigem Stand nicht betroffen gewesen.
SaaS-Integrationen sind privilegierte Maschinenidentitäten. Jede Connected App mit Zugriff auf Salesforce, Microsoft 365, ServiceNow, GitHub oder Slack braucht Inventarisierung, Least-Privilege-Scopes, regelmäßige Token-Rotation, IP-Allowlisting, Monitoring auf ungewöhnliche API-Volumina und einen sauberen Offboarding-Prozess.
Der eigentliche Blind Spot liegt nicht in einem einzelnen Anbieter, sondern in der Annahme, dass eine einmal genehmigte Integration dauerhaft vertrauenswürdig bleibt.
ReliaQuest: „Klue Integration Abused in Salesforce Data Theft“
https://reliaquest.com/blog/threat-spotlight-integration-abused-in-crm-data-theft/
Cybersecurity Dive: „Klue investigating supply chain attack that targeted Salesforce integrations“
https://www.cybersecuritydive.com/news/klue-investigating-supply-chain-attack-salesforce-integrations/823532/
