Peretas Icarus Klaim Serangan Siber pada Klue, Daftar Korban Kebocoran Data OAuth Salesforce Meluas

Platform market intelligence terkemuka, Klue, secara resmi mengonfirmasi terjadinya insiden keamanan siber yang berdampak pada infrastruktur integrasi mereka. Serangan ini memungkinkan kelompok peretas mengekstraksi token OAuth yang digunakan untuk menghubungkan sistem Klue ke lingkungan Salesforce milik para pelanggan, di mana kelompok pemeras baru bernama “Icarus” kini telah mengklaim bertanggung jawab atas aksi tersebut.

Pengungkapan resmi ini mencuat setelah dua firma keamanan siber, Huntress dan ReliaQuest, memaparkan analisis mendalam mengenai bagaimana para penyerang menyalahgunakan integrasi fitur Klue Battlecards yang terkompromi untuk mencuri data CRM (Customer Relationship Management) Salesforce dari berbagai organisasi.

Dalam sebuah pernyataan resmi yang dirilis minggu ini, CEO Klue, Jason Smith, mengonfirmasi bahwa perusahaan mendeteksi adanya aktivitas mencurigakan dan tidak sah pada tanggal 12 Juni yang memengaruhi sebagian dari infrastruktur integrasi sistem mereka. Sejak temuan tersebut, Klue langsung bekerja sama dengan pakar keamanan siber eksternal untuk menginvestigasi insiden, mendukung pemulihan sistem pelanggan, serta memulihkan koneksi integrasi yang terdampak.

Berdasarkan hasil investigasi internal, penyerang berhasil masuk ke dalam sistem setelah mengeksploitasi kredensial warisan (legacy credential) yang rentan pada salah satu layanan integrasi. Akses ilegal tersebut kemudian dimanfaatkan oleh pelaku untuk memanen token OAuth yang berfungsi menghubungkan platform Klue dengan beberapa platform pihak ketiga, termasuk Salesforce, yang berujung pada penguasaan data di sejumlah lingkungan kerja digital milik pelanggan yang terhubung.

Pihak perusahaan menegaskan bahwa hingga saat ini tidak ditemukan bukti adanya konten atau data pelanggan yang disimpan langsung di dalam platform utama Klue yang ikut terkompromi. Insiden ini dipastikan murni terbatas pada jalur infrastruktur integrasi dengan pihak ketiga saja.

Sebagai tindakan penanganan darurat, Klue segera mencabut (revoke) seluruh token dan kredensial yang terdampak, menghapus kode ilegal yang sempat disisipkan peretas, menonaktifkan sementara seluruh integrasi yang rentan, serta melaporkan insiden ini kepada aparat penegak hukum. Demi mengoptimalkan proses pemulihan dan forensik digital, Klue juga mengonfirmasi telah menunjuk firma keamanan siber CrowdStrike untuk mendampingi penanganan kasus ini.

Temuan teknis dari ReliaQuest dan Huntress menunjukkan bahwa para peretas memanfaatkan kredensial OAuth curian tersebut untuk menerobos masuk ke lingkungan Salesforce pelanggan dan melancarkan aksi pencurian data dalam skala besar. ReliaQuest mengamati bahwa penyerang secara aktif menghasilkan token OAuth baru dan menjalankan skrip berbasis bahasa pemrograman Python secara terus-menerus dalam durasi yang panjang untuk mengirimkan perintah kueri ke API Salesforce guna menyedot data keluar.

Firma Huntress bahkan mengungkapkan bahwa lingkungan Salesforce internal milik mereka sendiri ikut menjadi salah satu korban dari kebocoran data sistem Klue ini. Adapun jenis informasi yang berhasil dijarah oleh peretas meliputi daftar kontak bisnis, riwayat komunikasi penjualan (sales communications), informasi struktur harga (pricing information), serta berbagai catatan korporasi lainnya.

Meskipun beberapa analis keamanan sebelumnya sudah menduga adanya keterlibatan kelompok pemeras Icarus di balik serangan ini, kelompok peretas tersebut kini secara terbuka telah mengklaim tanggung jawab penuh melalui situs kebocoran data (data leak site) milik mereka di jaringan gelap. Dalam unggahannya, Icarus menyatakan bahwa mereka telah mengeksfiltrasi sejumlah instans Salesforce milik berbagai perusahaan yang menjadi mitra dari Klue.

Kelompok Icarus kini mulai melancarkan taktik tekanan psikologis dan pemerasan terhadap Klue serta organisasi-organisasi yang terdampak. Mereka mendesak para korban untuk segera menghubungi pihak peretas melalui platform pesan instan terenkripsi, Session, guna menegosiasikan pembayaran tebusan agar data sensitif yang dicuri tidak disebarluaskan ke publik.

Keterkaitan kelompok ini juga diperkuat oleh laporan pengiriman email pemerasan terarah yang diterima oleh beberapa organisasi korban, di mana ID Session Messenger yang tercantum dalam email tersebut sangat identik dengan identitas yang tertera di situs resmi milik kelompok Icarus.

Sejak pengumuman insiden ini meluas, daftar organisasi yang mengonfirmasi bahwa mereka ikut menjadi korban dari rembetan kasus Klue ini terus bertambah. Deretan perusahaan teknologi dan siber global yang memastikan sistem Salesforce mereka ikut terdampak di antaranya meliputi Recorded Future, Tanium, Jamf, Sprout Social, Gong, dan Insurity.

Sebagian besar dari perusahaan-perusahaan tersebut menyatakan bahwa dampak dari insiden ini hanya terbatas pada pencurian data dari instans Salesforce luar mereka dan tidak sampai memengaruhi integritas platform utama, infrastruktur server internal, informasi pembayaran pelanggan, maupun sistem operasional dalam perusahaan mereka sendiri.

Kendati demikian, sejumlah organisasi mengeluarkan peringatan keras bahwa tumpukan data kontak bisnis yang berhasil dicuri tersebut sangat rawan disalahgunakan oleh para pelaku kejahatan untuk melancarkan serangan siber lanjutan. Data tersebut dapat dipakai sebagai bahan mentah untuk menyusun kampanye phishing yang sangat meyakinkan, aksi manipulasi psikologis (social engineering), hingga skenario pemerasan terarah. Oleh karena itu, para pelanggan dan mitra bisnis diimbau untuk meningkatkan kewaspadaan terhadap segala bentuk komunikasi mencurigakan yang mengatasnamakan perusahaan-perusahaan tersebut.