De koppeling die niemand bewaakt
Moderne bedrijven draaien op koppelingen. Je CRM is gekoppeld aan je marketingtool, die weer gekoppeld is aan je boekhouding, die weer praat met je betaalplatform. Elke koppeling maakt je werk makkelijker — maar elke koppeling is ook een deur. En in 2026 blijkt dat veel van die deuren niet op slot zitten.
In het eerste halfjaar van 2026 vonden meerdere grote beveiligingsincidenten plaats waarbij niet de software zelf werd gehackt, maar de koppelingen tussen SaaS-platformen. De aanvallers richtten zich op OAuth-tokens — de digitale sleutels waarmee applicaties onderling gegevens uitwisselen. Eén gecompromitteerde leverancier was genoeg om bij tientallen tot honderden gekoppelde organisaties binnen te komen.
De Klue-breach: bijna 200 bedrijven geraakt via één koppeling
Op 12 juni 2026 detecteerde Klue — een platform voor competitive intelligence — ongeautoriseerde activiteit in hun integratie-infrastructuur. Een aanvaller had via een gecompromitteerd legacy-credential toegang gekregen tot de systemen waarmee Klue koppelingen onderhield met externe platformen als Salesforce, HubSpot, Gong en Slack.
Het doel was niet Klue zelf. De aanvaller gebruikte de toegang om OAuth-tokens te verzamelen die Klue's klanten gebruikten om hun Salesforce-omgeving te koppelen. Met die tokens had de aanvaller dezelfde toegang tot de Salesforce-data als de Klue-app zelf — zonder wachtwoorden, zonder MFA, zonder dat iemand het merkte.
Het resultaat: de CRM-gegevens van bijna 200 organisaties werden buitgemaakt. Onder de getroffen bedrijven zaten opvallend genoeg meerdere gerenommeerde cybersecuritybedrijven: Huntress, HackerOne, Snyk, Recorded Future en Tanium. Zelfs LastPass bevestigde dat er data was gestolen.
De gestolen gegevens: namen, e-mailadressen, functietitels, telefoonnummers, verkoopdata, prijsoffertes en interne salescommunicatie. Informatie die een concurrent — of crimineel — goud waard is.
Dubbele afpersing
De afpersingsgroep achter de aanval, Icarus genaamd, eiste losgeld van de getroffen organisaties. Maar het werd nog pijnlijker: een tweede partij claimde óók toegang tot dezelfde gestolen data en begon een eigen afpersingscampagne. De oorspronkelijke aanvallers waren zelf ook gecompromitteerd — een dubbele supply chain in de misdaad.
De Vercel-breach: shadow AI als inbraakroute
Twee maanden eerder, in april 2026, trof een vergelijkbaar incident het hostingplatform Vercel. De aanval begon niet bij Vercel zelf, maar bij Context.ai — een kleinschalige AI-tool die een Vercel-medewerker had gekoppeld aan zijn Google Workspace-account.
Context.ai was eerder gecompromitteerd via Lumma Stealer-malware. De aanvaller gebruikte de OAuth-tokens van Context.ai om in de Google Workspace van de Vercel-medewerker te komen, en pivoteerde van daaruit naar interne Vercel-systemen. Het resultaat: interne dashboards, medewerkersgegevens, API-sleutels, npm-tokens en GitHub-tokens werden buitgemaakt. De afpersingseis: 2 miljoen dollar.
Het pijnpunt: niemand bij Vercel was op de hoogte van de OAuth-koppeling die de medewerker had aangemaakt. Het was shadow AI in optima forma — een medewerker die een handige AI-tool koppelt zonder het IT- of securityteam te informeren, waarmee onbedoeld een achterdeur wordt gecreëerd.
Waarom OAuth-koppelingen zo'n aantrekkelijk doelwit zijn
OAuth is ontworpen om veilig te zijn — en op zichzelf is het protocol dat ook. Het probleem zit niet in OAuth zelf, maar in hoe organisaties ermee omgaan:
1. Tokens verlopen niet
Veel SaaS-integraties gebruiken langlevende OAuth-tokens die niet automatisch verlopen. Bij de Klue-breach bleken tokens maanden oud te zijn zonder dat ze ooit waren geroteerd. Een gestolen token kan daardoor maanden of jaren bruikbaar blijven — veel langer dan een gestolen wachtwoord, dat je kunt resetten.
2. Koppelingen krijgen te brede rechten
Wanneer een SaaS-tool vraagt om koppeling met je Salesforce, accepteren de meeste gebruikers de gevraagde permissions zonder kritisch te kijken. Veel kant-en-klare integraties vragen brede toegangsrechten — "toegang tot alle contacten en deals" — terwijl ze maar een fractie daarvan nodig hebben. Die overbrede scope wordt een probleem zodra een aanvaller de token in handen krijgt: hij heeft dezelfde brede toegang.
3. Niemand houdt het overzicht
In een gemiddelde organisatie met 10.000 gebruikers zijn meer dan 4.300 apps gekoppeld aan Microsoft 365 en Google Workspace. Daarvan wordt 39% als hoog risico geclassificeerd en nog eens 28% als medium risico. Securityteams keuren koppelingen sneller goed dan ze ze kunnen reviewen, roteren of opruimen.
4. OAuth omzeilt MFA
Een van de meest onderschatte aspecten: een OAuth-token werkt onafhankelijk van multifactorauthenticatie. Als een gebruiker ooit met MFA heeft ingelogd en een OAuth-koppeling heeft goedgekeurd, kan de token daarna worden gebruikt zonder opnieuw MFA te hoeven doorlopen. In mei 2026 waarschuwde de FBI voor phishingcampagnes via het Kali365-platform die specifiek gericht waren op het stelen van Microsoft 365 OAuth-tokens — met succespercentages boven de 50%.
Het verschil met dependency supply chain attacks
We schreven eerder over supply chain attacks via software-dependencies — de aanvallen op npm-, Composer- en PyPI-pakketten. Dat type aanval richt zich op de code die je gebruikt om software te bouwen. De aanvaller stopt malware in een pakket dat developers installeren.
OAuth supply chain-aanvallen zijn fundamenteel anders:
- Doelwit: niet je broncode, maar je bedrijfsdata (CRM-gegevens, klantinformatie, interne communicatie)
- Aanvalsvector: niet een kwaadaardig pakket, maar een gecompromitteerde SaaS-leverancier wiens OAuth-tokens worden misbruikt
- Wie geraakt wordt: niet developers, maar iedereen in de organisatie die SaaS-tools koppelt
- Detectie: moeilijker, omdat OAuth-tokens zich gedragen als legitieme applicatietoegang — er is geen malware, geen verdacht bestand, geen vreemde code
Beide typen supply chain attacks zijn relevant, maar de OAuth-variant raakt een veel breder publiek binnen de organisatie en is vaak lastiger te detecteren.
Wat kun je als organisatie doen?
Vijf stappen die je deze week kunt zetten om je OAuth-aanvalsoppervlak te verkleinen:
1. Inventariseer je actieve koppelingen
Begin met een volledig overzicht van alle OAuth-koppelingen in je Google Workspace, Microsoft 365 en Salesforce. De meeste beheerconsoles bieden dit inzicht — maar de meeste organisaties hebben het nog nooit opgezocht. Verwijder koppelingen die niet meer worden gebruikt of waarvan niemand weet waarvoor ze dienen.
2. Beperk wie koppelingen mag goedkeuren
Stel in je identiteitsprovider in dat nieuwe OAuth-koppelingen goedkeuring van een beheerder vereisen. In Google Workspace heet dit "App Access Control", in Microsoft Entra ID configureer je dit via "User consent settings". Dit voorkomt dat medewerkers zelfstandig koppelingen aanmaken — het mechanisme waardoor de Vercel-breach mogelijk was.
3. Eis scope-beperking bij SaaS-leveranciers
Wanneer een SaaS-tool om integratie-toegang vraagt, controleer dan welke permissions worden gevraagd. Een marketingtool die "volledige toegang tot alle Salesforce-objecten" vraagt terwijl hij alleen leestoegang tot contacten nodig heeft, is een onnodig risico. Vraag de leverancier om een integratie met minimale scope.
4. Implementeer token-rotatie
Langlevende tokens zijn de kern van het probleem. Configureer waar mogelijk automatische token-rotatie en stel maximale levensduren in. Bij API-koppelingen die je zelf bouwt of laat bouwen, kun je dit vanaf het begin inrichten.
5. Monitor OAuth-activiteit
Stel alerts in voor ongewone OAuth-activiteit: tokens die vanuit onbekende IP-adressen worden gebruikt, koppelingen die buiten kantooruren data opvragen, of applicaties die plotseling veel meer data ophalen dan gebruikelijk. Dit had zowel bij de Klue- als bij de Vercel-breach een vroeger detectiemoment opgeleverd.
Waarom maatwerk-integraties veiliger kunnen zijn
Het klinkt misschien paradoxaal, maar een op maat gebouwde API-koppeling kan veiliger zijn dan een kant-en-klare SaaS-connector. De reden: bij maatwerk heb je volledige controle over de scope, de tokenlevensduur en de dataflow.
Een kant-en-klare connector als Klue vraagt brede OAuth-rechten om zo veel mogelijk klanten te bedienen. Een maatwerk-integratie vraagt alleen de permissions die jouw specifieke usecase nodig heeft — en niets meer. Daarnaast loop je bij een maatwerk-koppeling niet het risico dat de leverancier van de connector wordt gehackt en jouw tokens worden buitgemaakt.
Concrete voordelen van maatwerk-integraties vanuit beveiligingsperspectief:
- Principle of least privilege: je vraagt alleen de minimaal noodzakelijke rechten op de systemen die je koppelt
- Geen derde partij in de keten: data gaat direct van systeem A naar systeem B, zonder tussenliggende SaaS-leverancier die tokens opslaat
- Token-rotatie ingebouwd: je implementeert automatische verversing van tokens als onderdeel van het ontwerp
- Volledige audit trail: je logt precies welke data wanneer wordt opgehaald en door welk proces
NIS2 en de Cyberbeveiligingswet
De Cyberbeveiligingswet — de Nederlandse implementatie van de NIS2-richtlijn — is op 7 juli 2026 aangenomen door de Eerste Kamer en treedt naar verwachting op 15 augustus 2026 in werking. De wet verplicht organisaties in essentiële en belangrijke sectoren om de beveiliging van hun toeleveringsketen actief te beheersen.
SaaS-koppelingen via OAuth vallen hier expliciet onder. Als je CRM gekoppeld is aan een marketingtool die wordt gehackt, en daardoor klantgegevens lekken, ben je als organisatie mede verantwoordelijk als je geen aantoonbare maatregelen had getroffen om dit risico te beheersen. De Klue-breach is precies het scenario waar NIS2 voor waarschuwt.
2026 wordt het jaar van de SaaS-breach
De Klue-breach, de Vercel-hack en de golf van OAuth-phishingcampagnes zijn geen incidenten — ze zijn een patroon. Cyber Defense Magazine voorspelde begin 2026 dat dit het jaar van de SaaS-breaches zou worden, en die voorspelling komt uit.
De reden is structureel: organisaties hebben de afgelopen jaren massaal SaaS-tools gekoppeld om productiviteit te verhogen, maar de governance van die koppelingen is niet meegegroeid. Het resultaat is een aanvalsoppervlak dat niemand volledig overziet — en dat aanvallers steeds beter weten te vinden.
De les is niet dat je moet stoppen met koppelen. Integraties tussen systemen zijn essentieel voor efficiënte bedrijfsvoering. De les is dat je koppelingen met dezelfde zorgvuldigheid moet behandelen als je eigen software: bewust ontworpen, minimaal geprivilegieerd, actief gemonitord en regelmatig opgeruimd.
Onze aanpak
Bij Coding Agency bouwen we API-koppelingen met security by design. Dat betekent: strikte scope-beperking, korte tokenlevensduur, automatische rotatie en volledige logging. We adviseren ook over je bestaande integratieladschap — welke koppelingen zijn overbodig, welke hebben te brede rechten, en waar kun je kant-en-klare connectors vervangen door veiligere maatwerk-alternatieven.
Wil je weten hoe het gesteld is met de OAuth-koppelingen in jouw organisatie? Neem contact op — we helpen je een inventarisatie te maken en de grootste risico's aan te pakken.