Il 19 giugno 2026 è stato reso noto un attacco informatico ai sistemi della piattaforma Klue, usata per la business intelligence. Gli hacker hanno compromesso i server backend l’11 giugno, distribuendo codice malevolo per rubare token OAuth. Così hanno avuto accesso ai sistemi CRM di clienti come Huntress e Recorded Future. Klue ha disattivato i token e le integrazioni interessate.
Cosa è successo
- Tra l’11 e il 12 giugno, ignoti hanno compromesso i server backend di Klue, sfruttando una credenziale legacy non più in uso per distribuire codice malevolo che catturava i token OAuth usati per le integrazioni clienti con servizi come Salesforce, HubSpot, Slack e altri.
- I token sottratti sono stati usati per accedere alle API REST di Salesforce e copiare dati CRM come contatti commerciali, offerte di prezzo, comunicazioni di vendita.
- Tra le aziende coinvolte vi sono Huntress e Recorded Future, che hanno confermato l’estrazione solo di dati di business, non di minacce, password, dati di pagamento o sistemi interni.
- Klue ha revocato i token compromessi e disabilitato temporaneamente le integrazioni interessate.
Perché è importante
Per le PMI e le aziende italiane, questo incidente mette in luce quanto sia fragile la sicurezza delle integrazioni tra servizi cloud. Anche se non si è direttamente compromessi, basta usare una piattaforma come Klue per esporre criminosamente dati aziendali critici via OAuth. In particolare:
- Le credenziali o token longevi e non monitorati possono diventare un ponte silenzioso per gli hacker.
- I dati CRM, anche se apparentemente innocui (contatti, offerte), rappresentano un tesoro per attacchi di ingegneria sociale o phishing mirati.
- Il rischio non viene da falle nel proprio sistema, ma da terze parti collegate: serve una strategia di sicurezza estesa a tutta la supply chain digitale.
Cosa fare adesso
- Controlla se usi integrazioni esterne (es. Klue, HubSpot, Salesforce) e verifica lo stato dei token OAuth utilizzati.
- Revoca e rigenera tutte le integrazioni sospette o poco monitorate.
- Verifica i log di accesso alle API dei servizi CRM tra l’11 e il 19 giugno 2026 per individuare traffico insolito.
- Abilita la rotazione regolare (e la disattivazione) delle credenziali non più usate.
- Monitora attività anomale come interrogazioni massicce e automatizzate da integrazioni autorizzate.
- Implementa un modello di sicurezza che include terze parti: anche applicazioni non umane (token, script) vanno trattate come soggetti da gestire.
Come ti aiuta Evo Sistemi
Da Evo Sistemi possiamo supportarti con:
- sicurezza informatica: valutazione e monitoraggio delle integrazioni, gestione proattiva di credenziali e token.
- realizzazione siti web: progettazione secondo i principi di sicurezza “secure by design”, anche per accessi e API.
- compliance e GDPR: gestione del rischio dati, analisi dell’impatto e supporto nella documentazione di sicurezza.
Per approfondire e costruire una difesa su misura, contattaci: parliamo del tuo progetto.
Domande frequenti
È stato violato Salesforce?
No. La violazione ha colpito solo le integrazioni tramite Klue, non i sistemi Salesforce interni.
I miei dati sensibili (password, pagamenti) sono a rischio?
No. Dalle analisi effettuate, sono stati esposti solo dati CRM legati alla parte commerciale, non password, dati di pagamento o sistemi interni.
Cosa sono i token OAuth e perché sono pericolosi?
I token OAuth sono chiavi digitali che permettono a un’app di agire su altri servizi senza password. Se rubati, consentono accesso mascherato, legittimo e difficile da rilevare.
Fonte: SecurityWeek.