// TOM'S HARDWARE ITALIA — GAMING
Una falla OAuth riapre l'incubo sicurezza Salesforce
Klue, piattaforma di market intelligence, ha subito un breach OAuth collegato a furti di dati Salesforce. Il caso è attribuito agli attacchi del gruppo Icarus, già associato a campagne di estorsione contro organizzazioni che usano CRM e integrazioni SaaS. La dinamica sposta l'attenzione dalle password tradizionali ai token applicativi che collegano servizi diversi.
Secondo quanto riportato, fonti vicine all'indagine indicano che più organizzazioni avrebbero visto dati Salesforce sottratti e usati per richieste estorsive. Klue ha quindi un ruolo particolare: non solo vittima, ma anche punto della catena che può avere dato accesso a dati di clienti o sistemi collegati. In un ecosistema SaaS, una singola integrazione compromessa può propagare l'impatto molto oltre il servizio iniziale.
OAuth serve a delegare accessi senza condividere direttamente credenziali. È comodo e spesso indispensabile, ma quando un token viene rubato o abusato può aggirare molte difese costruite intorno al login. Se il token applicativo ha permessi estesi, l'attaccante può interrogare API, esportare record e muoversi come un'applicazione autorizzata.
Per i team IT il caso impone un controllo sulle app collegate a Salesforce e ad altri CRM. Bisogna sapere quali integrazioni hanno accesso ai dati, quali permessi usano, quando sono state autorizzate e da chi. Le autorizzazioni storiche, lasciate attive dopo test o progetti conclusi, sono spesso un punto debole sottovalutato.
La risposta tecnica passa da revoca selettiva dei token, revisione dei log API, alert sulle esportazioni anomale e riduzione dei privilegi concessi alle app. Nei casi più sensibili conviene applicare policy che separino accessi in lettura, scrittura ed esportazione massiva. Il principio del minimo privilegio, nelle integrazioni SaaS, deve valere quanto negli account umani.
L'elemento estorsivo rende tutto più complesso. I dati CRM contengono clienti, opportunità commerciali, contatti e conversazioni che possono avere valore reputazionale e competitivo. Anche senza cifratura dei sistemi, il furto di dati basta a creare pressione. È il modello di attacco che molti gruppi stanno privilegiando perché sfrutta le dipendenze tra strumenti cloud e la difficoltà di capire rapidamente il perimetro esatto dell'esposizione.