CRM-Daten fühlen sich ruhig an, bis sich ein Token von selbst bewegt.
Vertriebsteams speichern Kontaktnamen, Verlängerungssignale, Pipeline-Notizen, Supportkontext, Partnerverlauf, Anrufzusammenfassungen, Preise, Beschaffungsnotizen und Käufereinwände an einem Ort. Dieses System wird zum Gedächtnis der Einnahmen. Wenn eine verbundene SaaS-App umfassenden Zugriff auf diesen Speicher erhält, geht das Risiko über die App selbst hinaus.
Im Juni 2026 berichtete The Hacker News, dass Salesforce die Klue Battlecards-App-Integration nach verdächtigen OAuth-Token-Aktivitäten deaktiviert hat, die möglicherweise unbefugten Zugriff auf Kundendaten über die Klue-Verbindung ermöglicht haben. Klue sagte später, es habe unbefugte Aktivitäten festgestellt, die einen Teil seiner Integrationsinfrastruktur beeinträchtigten, und dass ein Angreifer über kompromittierte Legacy-Anmeldeinformationen, die mit einem Integrationsdienst verbunden waren, Zugriff erhalten habe.
Der wichtige Punkt für Käufer ist die Direktheit. In den öffentlichen Berichten wurde keine Sicherheitslücke in der Salesforce-Plattform beschrieben. Sie beschrieben einen Drittanbieter-Integrationspfad. Das ist der Teil, den viele Unternehmen bei einer Sicherheitsüberprüfung übersehen.
Eine genehmigte Integration kann zur Tür werden.
Was die öffentliche Berichterstattung sagt
Laut Salesforce hat das Unternehmen die Verbindung zwischen Klue Battlecards und Salesforce deaktiviert, um Kunden zu schützen, nachdem ungewöhnliche Aktivitäten im Zusammenhang mit der App festgestellt wurden. Die Hacker News zitierten Salesforce mit der Aussage, dass das Problem auf die Klue-App-Verbindung beschränkt sei und nicht auf eine Schwachstelle innerhalb von Salesforce zurückzuführen sei.
Klue sagte, der Vorfall habe mit einem kompromittierten Legacy-Berechtigungsnachweis im Zusammenhang mit einem Integrationsdienst begonnen. Von dort erlangte der Angreifer OAuth-Token, mit denen er Klue mit Plattformen von Drittanbietern, darunter Salesforce, verbindet. Klue sagte, es habe betroffene Anmeldeinformationen und Token widerrufen, nicht autorisierten Code entfernt, den Fernzugriff gestoppt, potenziell betroffene Integrationen deaktiviert und eine umfassendere Untersuchung eingeleitet.
Laut Huntress umfassten die aus seinem Salesforce-Konto kopierten Daten Geschäftskontakte, Preisangebote sowie vertriebsbezogene Daten und Nachrichten. Huntress sagte außerdem, dass Bedrohungsdaten, Passwörter, Zahlungskartendaten und technische Daten im Zusammenhang mit seinem Agenten oder der Telemetrie nicht betroffen seien. Spätere Berichte besagten, dass mit Huntress in Verbindung stehende Daten auf einer Leak-Site aufgetaucht seien, wobei Huntress bestätigte, dass ein veröffentlichter 3,4-GB-Datensatz legitim und auf Salesforce CRM-Daten beschränkt sei.
Datadog Security Labs beschrieb das Muster als einen Klue-Lieferkettenangriff auf Salesforce-Instanzen. In seinem Bericht heißt es, dass Klue die Kunden am 13. Juni 2026 alarmierte, nachdem OAuth-Tokens für Salesforce und Gong bereits gesammelt worden waren und automatisierte API-Aufrufe begonnen hatten. ReliaQuest berichtete, dass sich der Angreifer über ein kompromittiertes Klue-Integrationsdienstkonto authentifizierte, OAuth-Tokens generierte und dann fast 24 Stunden lang automatisierte Skripte verwendete, um Salesforce REST API-Endpunkte abzufragen.
Das reicht aus, um die Geschäftslektion zu definieren. Das SaaS-Risiko liegt jetzt in Autorisierungen von Drittanbietern, veralteten Service-Anmeldeinformationen, App-Genehmigungen, API-Abfragemustern und der Token-Lebensdauer.
Wie der Pfad funktionierte
OAuth ist so konzipiert, dass eine Anwendung innerhalb einer anderen Anwendung mit Erlaubnis agieren kann. Ein Benutzer oder Administrator gewährt Zugriff. Die Anwendung erhält Token. Mit diesen Token kann die Anwendung APIs aufrufen, ohne jedes Mal nach einem Passwort zu fragen.
Dieses Design ist nützlich. Es ist auch gefährlich, wenn das Token den tatsächlichen Geschäftsbedarf überdauert, wenn die verbundene Anwendung über einen größeren Zugriff als nötig verfügt oder wenn der Eigentümer der Integration als risikoarm eingestuft wird, weil er vertraut ist.
Die öffentliche Berichterstattung über den Fall Klue weist auf eine bekannte Kette hin:
- Ein mit der Integrationsinfrastruktur verbundener Legacy-Berechtigungsnachweis wurde zum ersten Standbein.
- Der Angreifer nutzte diesen Halt, um an OAuth-Tokens zu gelangen.
- Die Token ermöglichten den Zugriff auf verbundene Kundenumgebungen.
- Automatisierte Skripte haben Salesforce-Daten über normale API-Pfade abgefragt.
- Die Aktivität sah aus wie Integrationsverkehr, bis jemand die schärfere Frage stellte.
Aus diesem Grund erfordert die OAuth-Überprüfung eine andere Denkweise als die normale Überprüfung von Benutzerkonten. Ein menschlicher Benutzer hat eine Berufsbezeichnung, einen Manager, ein Anmeldemuster, ein Gerät und einen sichtbaren Arbeitsablauf. Eine verbundene Anwendung verfügt häufig über einen breiten Zugriff, eine hohe Persistenz, eine begrenzte Verhaltensüberwachung und keinen natürlichen täglichen Eigentümer.
Das Konto kann monatelang still bleiben und dann zum lautesten Risiko im Unternehmen werden.
Wie der Schaden aussieht
Die öffentliche Berichterstattung nennt mehrere konkrete Wirkungsbereiche.
Die erste ist die Offenlegung von CRM-Daten. Geschäftskontakte, Namen, E-Mails, Telefonnummern, Adressen, Angebote, Informationen zu Supportfällen, Geschäftsunterlagen und vertriebsbezogene Nachrichten können ausreichen, um einem Unternehmen zu schaden. Ein Krimineller benötigt keine Passwortdatenbank, um Schaden anzurichten. Der CRM-Kontext kann Phishing, Rechnungsbetrug, Partnerbetrug, Investorendruck, Wettbewerbsinformationen und Erpressung begünstigen.
Die zweite Möglichkeit ist die Verhandlungspräsenz. Verkaufsnotizen zeigen, worauf Käufer achten. Preisnotizen zeigen die Rabattlogik. Opportunity-Datensätze zeigen den Verlängerungszeitpunkt. Support-Hinweise zeigen Frustration. All das kann genutzt werden, um Mitarbeiter und Kunden mit echten Botschaften unter Druck zu setzen.
Die dritte Möglichkeit ist das anschließende Social Engineering. Wenn ein Angreifer den Kunden, den Account Manager, das Verlängerungsdatum, das Käuferanliegen und das letzte Supportthema kennt, sieht die nächste E-Mail weniger zufällig aus. Es kann wie ein normales Gespräch klingen.
Der vierte Faktor ist der Reputationsdruck. Ein Unternehmen kann möglicherweise sagen, dass Passwörter und Zahlungskarten außerhalb des Geltungsbereichs lagen, und das kann wahr sein. Der Käufer hört noch eine weitere Meldung: Ein Drittanbieter-Connector hat Geschäftsdaten erreicht. Das wirft Fragen von Kunden, Partnern, Beschaffungsteams, Versicherern und Führungskräften auf.
Die fünfte ist die Beweisschuld. Nach einem Token-Event benötigt das Unternehmen schnelle Antworten:
- Welche verbundenen Apps hatten Zugriff?
- Welche Objekte wurden abgefragt?
- Welche Felder wurden exportiert?
- Welche Kunden wurden berührt?
- Welche Token wurden widerrufen?
- Welche Integrationen wurden deaktiviert?
- Welche Protokolle bleiben erhalten?
- Welche Kontrollen verhindern wiederholte Aktivitäten?
Wenn das Unternehmen diese Fragen nicht beantworten kann, dauert der Vorfall in Vertriebs- und Rechtsgesprächen noch lange nach der technischen Eindämmung an.
Warum das seriösen Käufern Angst macht
Der gruselige Teil ist die gewöhnliche Oberfläche.
Die meisten SaaS-Umgebungen verfügen über jahrelang verbundene Apps. Marketingtools, Vertriebsaktivierungstools, Supporttools, Anreicherungstools, Analysetools, Data Warehouses, KI-Assistenten, Anrufrekorder, BI-Konnektoren, Backup-Tools, Low-Code-Automatisierungen und Integrationsplattformen erfordern alle Zugriff. Viele erhalten es. Weniger verlieren es, wenn das ursprüngliche Projekt endet.
Mit der Zeit wird das SaaS-Anwesen zu einem Schattenbereich. Die Firewall kann stark sein. MFA kann stark sein. Mitarbeitergeräte können verwaltet werden. Dennoch kann ein OAuth-Token eines Drittanbieters durch den Seiteneingang gelangen, da das Unternehmen es vor Monaten oder Jahren genehmigt hat.
Kleine Unternehmen spüren dies am Vertrauen der Kunden. Ein Vorfall kann Unternehmensabschlüsse verlangsamen. Käufer verlangen einen Nachweis, dass die Integrationen inventarisiert, umfangreich festgelegt, überwacht und widerrufen werden, wenn sie veraltet sind.
Mittelständische Unternehmen spüren dies durch Verzögerungen bei der Beschaffung. Ein Partner fragt nach der Liste der verbundenen SaaS-Tools. Die Sicherheit fragt nach Zugriffsbereichen. Legal fragt, wer welche Daten verarbeitet. Der Vertrieb fragt, wann der Deal umgesetzt werden kann.
Großunternehmen spüren dies an der Größe. Hunderte Abteilungen und Tools schaffen Tausende von Zuschüssen. Eine einzige schwache Integration kann zum Weg in Daten werden, von denen die Führung glaubte, dass sie durch die primäre Plattform geschützt seien.
Das technische Wort ist OAuth. Das Geschäftswort ist Belichtung.
Welche Teams sollten jetzt inspizieren
Beginnen Sie mit einer vollständigen Bestandsaufnahme der verbundenen Apps. Exportieren Sie alle installierten, mit Salesforce verbundenen Anwendungen, OAuth-Zuschüsse, Integrationsbenutzer, Dienstkonten, Aktualisierungstokenklassen und von Drittanbietern verwaltete Pakete. Beziehen Sie Gong, HubSpot, Slack, Google Workspace, Snowflake, Support Desks, Anreicherungstools und KI-Workflow-Tools ein, wenn sie CRM-Daten berühren.
Ordnen Sie dann nach Explosionsradius. Ein Connector, der Accounts, Kontakte, Leads, Opportunities, Fälle, benutzerdefinierte Objekte und Dateianhänge lesen kann, gehört zur obersten Ebene. Ein Connector mit Aktualisierungstokens und ohne aktiven Besitzer gehört zur obersten Ebene. Ein Stecker, der für einen Piloten installiert und am Leben gehalten wird, gehört in die oberste Kategorie.
Überprüfen Sie die Bereiche. Viele Integrationen erhalten breiten Zugriff, da dies bei der Einrichtung einfacher war. Dadurch entsteht eine stille Haftung. Ein Umsatztool benötigt selten jedes Objekt für immer. Ein Reporting-Tool benötigt selten Schreibzugriff. Eine veraltete Integration muss entfernt werden.
Überprüfen Sie Token und Sitzungen. Der Widerruf muss real sein. Ein Kontrollkästchen in einer Admin-Konsole ist schwächer als der Beweis dafür, dass Token, Aktualisierungstoken, Sitzungen und Gewährungen für verbundene Apps ungültig gemacht wurden. Wenn der Vorfall einen Anbieter betrifft, fragen Sie, was er widerrufen hat und was Sie vor Ort widerrufen müssen.
Überprüfen Sie die Protokolle auf normal aussehenden Missbrauch. Im Klue-Fall wurden in der Berichterstattung API-Abfragen und automatisierte Benutzeragenten beschrieben. Ein Team sollte nach ungewöhnlichem Abfragevolumen, API-Bursts außerhalb der Geschäftszeiten, neuen Quellnetzwerken, Objektaufzählung, Massenpaginierung und Zugriff über eine Infrastruktur suchen, die nicht dem normalen Fußabdruck des Anbieters entspricht.
Überprüfen Sie die Benachrichtigungen. Viele Erkennungsprogramme weisen darauf hin, dass Mitarbeiter nicht reisen können, weisen jedoch nicht darauf hin, dass Integrationskonten einen vollständigen Objektkatalog abrufen. Diese Lücke ist wichtig. Integrationskonten benötigen Verhaltensbasislinien, Datenvolumenschwellenwerte und Änderungswarnungen.
Überprüfen Sie Verträge und Vorfallpfade. Wenn ein Anbieter über OAuth-Tokens für Ihre Umgebung verfügt, sollte in Ihrem Vertrag und Onboarding-Pfad angegeben sein, wie Tokens gespeichert werden, wie sie rotiert werden, wie Sie benachrichtigt werden, wie schnell sie widerrufen werden können, welche Protokolle sie aufbewahren und was passiert, wenn ihre eigene Infrastruktur gefährdet ist.
Die Kontrollkarten, die Käufer sehen wollen
Unternehmenskäufer verlangen selten den vollständigen Rohexport aus einer CRM-Sicherheitskonsole. Sie verlangen eine einfachere Antwort, die Reife beweist. Die beste Antwort besteht aus fünf Teilen.
Der Zugriff auf das Inventar steht an erster Stelle. Das Unternehmen sollte zeigen, welche verbundenen Apps CRM-Daten lesen oder schreiben können. Die Liste sollte Eigentümer, Anbieter, Geschäftszweck, Bereiche, Datenklassen, Datum der letzten Überprüfung und Entfernungspfad enthalten.
Scope-Disziplin steht an zweiter Stelle. Jede App sollte einen Grund für jede größere Berechtigung haben. Breite Bereiche wie vollständiger API-Zugriff, Offline-Zugriff, Schreibzugriff, Exportrechte und Zugriff auf benutzerdefinierte Objekte bedürfen einer stärkeren Begründung.
An dritter Stelle steht die Überwachung. Ein ernsthafter Käufer möchte wissen, dass der Zugriff auf API überwacht wird. Das Team sollte das Volumen, den Objektmix, ungewöhnliche Abfragemuster, Quelländerungen, Benutzeragentenänderungen und Zugriffe außerhalb des normalen Betriebsmusters des Anbieters überwachen.
An vierter Stelle steht die Widerrufsbereitschaft. Das Unternehmen sollte in der Lage sein, die Integration eines Drittanbieters schnell zu widerrufen, ohne das gesamte Umsatzteam zu zerstören. Dafür sind benannte Eigentümer, dokumentierte Fallbacks und ein getesteter Prozess erforderlich.
Der Beweis kommt an fünfter Stelle. Nach einer Überprüfung sollte das Unternehmen die Aufzeichnungen aufbewahren. Screenshots, Exporte, Änderungstickets, Protokollabfragen, Token-Sperraufzeichnungen und Notizen zu erneuten Tests sind wichtig, weil sie Verkaufs- und Sorgfaltsgespräche verkürzen.
Diese Kontrollkarte ist der Unterschied zwischen einer vagen Sicherheitsantwort und einer käufergerechten Antwort.
Die Fragen, die Umsatzmanager stellen sollten
CRM-Sicherheit gehört zur Umsatzführerschaft. Umsatzleiter sollten das Risiko verstehen, da die Daten zum Verkaufsvorgang gehören.
Fragen Sie, welche Umsatztools Pipeline und Kontakte lesen können. Fragen Sie, welche Tools Opportunity-Notizen exportieren können. Fragen Sie nach, ob ehemalige Piloten noch Zugang haben. Fragen Sie, ob KI-Assistenten den sensiblen Geschäftskontext erkennen können. Fragen Sie, ob Partnerintegrationen Anhänge lesen können. Fragen Sie, ob jede Integration einen Eigentümer hat, der noch im Unternehmen arbeitet.
Fragen Sie, was passieren würde, wenn ein Anbieter heute Token-Missbrauch ankündigen würde. Wer würde die App deaktivieren? Wer würde mit Kunden sprechen? Wer würde Protokolle überprüfen? Wer würde dem Vertrieb mitteilen, welche Deals betroffen sind? Wer würde eine saubere Antwort für die Beschaffung liefern?
Diese Fragen sind unangenehm. Das ist der Punkt. Ein Unternehmen sollte den Druck eher in der Probe spüren als während einer aktiven Erpressungsnachricht.
Ein sichererer SaaS-Genehmigungsweg
Neue SaaS-Tools sollten eine kurze Sicherheitsschleuse passieren, bevor sie CRM-Zugriff erhalten.
Das Gate sollte die Geschäftsanforderungen, die genauen erforderlichen Daten, den Berechtigungsumfang, die Token-Lebensdauer, das Speichermodell des Anbieters, den Vorfallbenachrichtigungspfad, die für den Kunden verfügbare Protokollierung und den Eigentümer innerhalb des Unternehmens definieren.
Das Tor sollte auch einen Ausgang definieren. Für jede Integration ist ein Entfernungsdatum oder ein Überprüfungsdatum erforderlich. Jeder Pilot benötigt eine automatische Bereinigung. Jeder Anbieterwechsel erfordert eine erneute Validierung. Für jede Genehmigung mit hohem Risiko ist eine zweite Person erforderlich, die sie genehmigt.
Dieses Tor muss das Geschäft nicht verlangsamen. Es sollte das Geschäft beschleunigen, indem es künftige Verwirrung verhindert. Ein Verkaufstool, dessen Genehmigung zwei Tage länger dauert, ist günstiger als ein Verkaufstool, das dem Käufer zwei Monate lang Sorgen bereitet.
Für mit KI verbundene Umsatztools wird der gleiche Weg strenger. Wenn das Tool Anrufprotokolle, CRM-Notizen, den Supportverlauf oder Einwände von Käufern lesen kann, verarbeitet es sensible Geschäftsspeicher. Es verdient vom ersten Tag an Überwachungs- und Entfernungsregeln.
Welche Zertifizierung sollte abdecken?
Für eine SaaS- und CRM-Integrationskontur kann StOFU Security Certification den genauen Umfang nennen. Dieser Umfang kann mit Salesforce verbundene Apps, Dienstkonten, OAuth-Zuschüsse, Umsatztools von Drittanbietern, KI-Assistenten, die CRM-Daten bearbeiten, Exportpfade, Überwachungsregeln und Widerrufsnachweise umfassen.
Das Zertifikat sollte nicht behaupten, dass jeder Anbieter auf der Welt sicher ist. Darin sollte angegeben werden, was überprüft wurde, welche Risiken festgestellt wurden, welche Korrekturen überprüft wurden und wie lange das Ergebnis verwendet werden kann. Für viele SaaS-Konturen ist eine Gültigkeitsdauer von bis zu 12 Monaten praktisch, wenn wesentliche Änderungen eine frühere Überprüfung auslösen. Ein neuer Hochrisikoanbieter, eine größere Änderung der CRM-Berechtigungen, ein neuer KI-Workflow oder eine Änderung des Datenmodells sollten die Kontur früher wieder öffnen.
So wird eine Zertifizierung sinnvoll. Es entsteht eine lebendige Antwort. Das Unternehmen kann Kunden und Investoren zeigen, dass der Umsatzdatenpfad überprüft wurde, dass veraltete Zugriffe entfernt wurden, dass gefährliche Bereiche reduziert wurden und dass Token-Missbrauch überwacht wird.
Wie SToFU diese Risikoklasse bekämpft
SToFU behandelt SaaS-Integrationen als Teil der Sicherheitskontur. Die Überprüfung endet nicht beim Anwendungscode oder beim Cloud-Konto. Es umfasst die Pfade, auf denen Geschäftsdaten über Tools von Drittanbietern, Dienstkonten, API-Clients, Token, Automatisierungen und KI-gestützte Arbeitsabläufe übertragen werden.
Für diese Risikoklasse konzentrieren wir uns auf fünf Ergebnisse.
Zuerst erstellen wir eine Connected-Access-Karte. Die Karte zeigt, welche Tools welche Systeme erreichen können, welche Bereiche sie haben, welche Datenklassen sie berühren und welcher Eigentümer den Zugriff rechtfertigen kann.
Zweitens überprüfen wir den Token- und Identitätsstatus. Dazu gehören OAuth-Bereiche, Aktualisierungstokenverhalten, App-Genehmigungsregeln, Dienstkontodesign, nichtmenschlicher Identitätsbesitz, bedingter Zugriff, Lieferantenquellenmuster und Widerrufsworkflows.
Drittens testen wir Missbrauchspfade. In einer nützlichen Überprüfung wird die Frage gestellt, was ein Krimineller mit einem Token abfragen könnte, welche Daten zur Erpressung nützlich wären, wie schnell sie abgerufen werden könnten, welche Protokolle sie anzeigen würden und welche Warnungen ausgelöst würden.
Viertens unterstützen wir die Sanierung. Das kann bedeuten, Bereiche zu reduzieren, veraltete Apps zu entfernen, Integrationskonten aufzuteilen, Warnungen hinzuzufügen, Genehmigungen zu verschärfen, eine Token-Rotation zu erzwingen, strengere Anbieternachweise zu verlangen oder Leitplanken für CRM-Exporte einzuführen.
Fünftens überprüfen wir den Abschluss. Wenn die Ergebnisse behoben sind, führen wir einen erneuten Test durch. Wenn die Kontur für eine Käufer-, Investor-, Partner- oder Beschaffungsprüfung sauber genug ist, können wir eine StOFU-Sicherheitszertifizierung mit dem überprüften Umfang, den Sanierungsnachweisen, dem Überprüfungsdatum und dem Gültigkeitszeitraum ausstellen.
Das Zertifikat ist wichtig, da Käufer ein eindeutiges Artefakt benötigen. Sie müssen wissen, was überprüft wurde, welche Risiken geschlossen wurden und wie lange die Antwort verwendet werden kann.
Ein praktischer Reaktionsplan
Wenn Ihr Unternehmen Salesforce, Gong, HubSpot oder ähnliche Umsatzsysteme nutzt, handeln Sie in der richtigen Reihenfolge.
Zuerst Inventur durchführen. Listen Sie alle verbundenen Apps und Dienstkonten auf. Weisen Sie einen Eigentümer zu. Entfernen Sie alles, was keinen Eigentümer hat.
Reduzieren Sie den Zugriff zweitens. Grenzen Sie die Bereiche auf das für den Workflow erforderliche Minimum ein. Trennen Sie den Lesezugriff vom Schreibzugriff. Entfernen Sie alte Pilotprogramme, inaktive Anbieter und vergessene Automatisierungen.
Widerrufen und dritter drehen. Rotieren Sie risikoreiche Integrationen. Widerrufen Sie veraltete Aktualisierungstoken. Bestätigen Sie, dass sich sowohl die Anbieterseite als auch Ihre Seite geändert haben.
Hunt Vierter. Durchsuchen Sie API-Protokolle nach Objektkatalogaufzählung, umfangreichen Abfragen, ungewöhnlicher Paginierung, verdächtigen Benutzeragenten, Exporten außerhalb der Geschäftszeiten, seltsamen Quellnetzwerken und Zugriff auf vertrauliche benutzerdefinierte Objekte.
Fügen Sie Beweise als Fünftes hinzu. Bewahren Sie Exporte, Zeitstempel, Screenshots, Regeländerungen, Protokollabfragen und Abschlussnotizen auf. Die Beweise werden bei Kundenfragen und Versicherungsprüfungen nützlich.
Sechster bescheinigen. Ein sauberes Ergebnis hat nur dann Geschäftswert, wenn es vorzeigbar ist. Durch die Sicherheitszertifizierung wird der technische Abschluss zu einem Entscheidungsartefakt.
Die Käuferfrage
Der nächste Unternehmenskäufer wird eine schärfere Frage stellen. Sie werden fragen, wie Ihr Unternehmen den Zugriff Dritter auf Geschäftsdaten kontrolliert. Sie werden sich fragen, wie schnell veraltete Integrationen entfernt werden. Sie werden fragen, ob Dienstkonten überwacht werden. Sie werden fragen, ob Ihr CRM in großem Umfang abgefragt werden kann, ohne dass es jemand bemerkt.
Diese Fragen sind berechtigt.
Das Unternehmen, das sie beantworten kann, gewinnt an Geschwindigkeit. Das Unternehmen, das diese nicht beantworten kann, zahlt verspätet.
Der Fall Klue und Salesforce ist ein Signal. Token sind nun Teil der Angriffsfläche. SaaS-Integrationen sind jetzt Teil des Perimeters. Sicherheitsüberprüfungen müssen beweisen, dass die Geschäftssysteme, die Umsatzdaten übertragen, kontrolliert, überwacht und für eine Prüfung bereit sind.
SToFU hilft Unternehmen, diesen Beweis zu erbringen.
Quellen
- The Hacker News: Salesforce Disables Klue App Integration After OAuth Token Abuse Exposes Customer Data
- Klue: An Update on Recent Klue Security Incident
- Huntress: Klue Breach Investigation
- Datadog Security Labs: Detecting the Klue supply chain attack in Salesforce instances
- ReliaQuest: Integration Abused in CRM Data Theft
