Intorno al 12 giugno l’app Klue — uno strumento di competitive intelligence — ha subìto un’intrusione che ha permesso agli attaccanti di rubare i token OAuth: cioè le chiavi con cui i clienti collegavano Klue ai loro strumenti di lavoro, da Salesforce a HubSpot, Slack, SharePoint, Zoom, Gong e Google Drive. Salesforce ha reagito disabilitando l’app. Al di là del singolo prodotto, l’episodio è un esempio perfetto di un rischio che riguarda quasi ogni azienda: le app di terze parti collegate che nessuno controlla più.
Cos’è un token OAuth (e perché conta più di una password)
Quando colleghi due strumenti con il pulsante «Accedi con Google» o «Connetti a Salesforce», non stai consegnando la tua password all’app: il sistema rilascia un token, una specie di pass permanente che dice «questa app può leggere i miei dati» finché non glielo revochi. È comodo — non devi reinserire le credenziali ogni volta — ma ha un effetto collaterale: se qualcuno ruba quel token, entra senza bisogno della tua password e senza farsi fermare dall’autenticazione a più fattori, perché il pass risulta già autorizzato.
È esattamente quello che è successo con Klue: rubati i token, gli attaccanti potevano attingere ai dati delle piattaforme collegate come se fossero l’app autorizzata.
Salesforce, HubSpot o Google non sono stati 'bucati': il punto debole era un'app di terze parti collegata. Ogni azienda ne ha decine, autorizzate mesi fa con un 'Login con…' e mai più riviste. Più integrazioni attive e dimenticate, più porte lasciate aperte.
La lezione per una PMI: fai l’inventario delle app collegate
La maggior parte delle piccole e medie imprese non usa Klue, ma tutte hanno un CRM, una casella di posta aziendale o un Google/Microsoft Workspace a cui, nel tempo, sono state collegate molte app: strumenti di marketing, firma elettronica, gestionali, plugin, prove gratuite mai disattivate. Ognuna di quelle connessioni è un token attivo. E un token che non usi più è solo rischio senza beneficio.
I token OAuth sono il modo standard con cui le app si collegano tra loro senza condividere password. Comodi, ma restano validi finché non vengono revocati: per questo la pulizia periodica delle integrazioni autorizzate è una misura di sicurezza, non un vezzo tecnico.
Fonte: The Hacker News, Dark Reading, Help Net Security — giugno 2026
Cosa fare, in concreto
- Apri l’elenco delle app collegate del tuo CRM e della posta aziendale: in Salesforce sono le «Connected Apps», in Google Workspace le «App di terze parti con accesso all’account», in Microsoft 365 le «App autorizzate».
- Revoca tutto quello che non riconosci o non usi più: ogni integrazione spenta è una porta chiusa. Se serviva davvero, la ricollegherai in un minuto.
- Limita i permessi alle app che tieni: molte chiedono più accesso del necessario. Se un tool di newsletter può leggere l’intera rubrica e i file, chiediti se gli serve.
- Metti in calendario una revisione periodica (ogni tre-sei mesi): le integrazioni si accumulano da sole, la pulizia no.
In breve
Il furto dei token OAuth tramite l’app Klue ha messo a rischio i dati che i clienti tenevano su Salesforce e altri strumenti collegati, e Salesforce ha disabilitato l’app. Per una PMI il messaggio non è «cambia CRM», ma «controlla le app collegate»: un token rubato apre la porta senza password e senza MFA, quindi le integrazioni dimenticate sono il vero punto debole. L’azione di lunedì è semplice e gratuita: aprire l’elenco delle connected apps di CRM e posta e revocare ciò che non si usa.