---
title: "SaaS-koppelingen als aanvalsvector: de golf van OAuth-aanvallen in 2026 | Coding Agency"
description: "In juni 2026 werden via een gehackte Klue-integratie OAuth-tokens gestolen waarmee aanvallers de Salesforce CRM-data van bijna 200 bedrijven buitmaakten — waaronder HackerOne, Snyk en LastPass. Eerder dat jaar trof een vergelijkbare aanval Vercel via een AI-tool. Hoe SaaS-koppelingen ongemerkt je grootste aanvalsvector worden."
url: https://coding.agency/kennisbank/saas-koppelingen-oauth-aanvalsvector
source: Coding Agency (https://coding.agency)
language: nl
---

Architectuur  9 min leestijd  

#  SaaS-koppelingen als aanvalsvector: de golf van OAuth-aanvallen in 2026. 

In juni 2026 werden via een gehackte Klue-integratie OAuth-tokens gestolen waarmee aanvallers de Salesforce CRM-data van bijna 200 bedrijven buitmaakten — waaronder HackerOne, Snyk en LastPass. Eerder dat jaar trof een vergelijkbare aanval Vercel via een AI-tool. Hoe SaaS-koppelingen ongemerkt je grootste aanvalsvector worden.

 [ Jasper Koers ](https://coding.agency/over/jasper-koers) · 13 jul. 2026 

 ##  In het kort 

- In juni 2026 werden via gehackte OAuth-tokens bij Klue de CRM-gegevens van bijna 200 organisaties buitgemaakt, waaronder beveiligingsbedrijven als HackerOne, Snyk en LastPass
- Eerder in 2026 werd Vercel gecompromitteerd via een AI-tool die OAuth-toegang had tot een medewerkers Google Workspace — shadow AI als inbraakroute
- Een gemiddelde organisatie met 10.000 gebruikers heeft meer dan 4.300 gekoppelde SaaS-apps, waarvan 39% als hoog risico wordt geclassificeerd
- OAuth-tokens verlopen vaak niet automatisch en worden zelden geroteerd — een gestolen token kan maanden of jaren bruikbaar blijven
- Maatwerk-integraties met strikte scope-beperking en token-rotatie zijn veiliger dan kant-en-klare SaaS-connectors met brede toegangsrechten

## De koppeling die niemand bewaakt

Moderne bedrijven draaien op koppelingen. Je CRM is gekoppeld aan je marketingtool, die weer gekoppeld is aan je boekhouding, die weer praat met je betaalplatform. Elke koppeling maakt je werk makkelijker — maar elke koppeling is ook een deur. En in 2026 blijkt dat veel van die deuren niet op slot zitten.

In het eerste halfjaar van 2026 vonden meerdere grote beveiligingsincidenten plaats waarbij niet de software zelf werd gehackt, maar de *koppelingen* tussen SaaS-platformen. De aanvallers richtten zich op OAuth-tokens — de digitale sleutels waarmee applicaties onderling gegevens uitwisselen. Eén gecompromitteerde leverancier was genoeg om bij tientallen tot honderden gekoppelde organisaties binnen te komen.

## De Klue-breach: bijna 200 bedrijven geraakt via één koppeling

Op 12 juni 2026 detecteerde [Klue — een platform voor competitive intelligence — ongeautoriseerde activiteit](https://www.csoonline.com/article/4187907/klue-breach-exposed-salesforce-crm-data-through-stolen-oauth-tokens.html) in hun integratie-infrastructuur. Een aanvaller had via een gecompromitteerd legacy-credential toegang gekregen tot de systemen waarmee Klue koppelingen onderhield met externe platformen als Salesforce, HubSpot, Gong en Slack.

Het doel was niet Klue zelf. De aanvaller gebruikte de toegang om [OAuth-tokens te verzamelen die Klue's klanten gebruikten om hun Salesforce-omgeving te koppelen](https://www.obsidiansecurity.com/blog/klue-saas-supply-chain-attack-salesforce). Met die tokens had de aanvaller dezelfde toegang tot de Salesforce-data als de Klue-app zelf — zonder wachtwoorden, zonder MFA, zonder dat iemand het merkte.

Het resultaat: [de CRM-gegevens van bijna 200 organisaties werden buitgemaakt](https://www.rescana.com/post/klue-supply-chain-breach-exposes-oauth-tokens-and-salesforce-data-in-multi-stage-cybersecurity-incident-june-2026). Onder de getroffen bedrijven zaten opvallend genoeg meerdere gerenommeerde cybersecuritybedrijven: [Huntress](https://www.huntress.com/blog/klue-breach-investigation), [HackerOne, Snyk, Recorded Future en Tanium](https://www.securityweek.com/cybersecurity-firms-impacted-by-klue-supply-chain-attack/). Zelfs [LastPass bevestigde dat er data was gestolen](https://www.bleepingcomputer.com/news/security/lastpass-confirms-data-breach-in-klue-supply-chain-attack/).

De gestolen gegevens: namen, e-mailadressen, functietitels, telefoonnummers, verkoopdata, prijsoffertes en interne salescommunicatie. Informatie die een concurrent — of crimineel — goud waard is.

### Dubbele afpersing

De afpersingsgroep achter de aanval, [Icarus genaamd](https://www.rescana.com/post/klue-oauth-integration-breach-exposes-salesforce-customer-data-in-icarus-supply-chain-attack), eiste losgeld van de getroffen organisaties. Maar het werd nog pijnlijker: een tweede partij claimde óók toegang tot dezelfde gestolen data en begon een eigen afpersingscampagne. De oorspronkelijke aanvallers waren zelf ook gecompromitteerd — een dubbele supply chain in de misdaad.

## De Vercel-breach: shadow AI als inbraakroute

Twee maanden eerder, in april 2026, trof een vergelijkbaar incident het hostingplatform Vercel. [De aanval begon niet bij Vercel zelf, maar bij Context.ai](https://pushsecurity.com/blog/unpacking-the-vercel-breach) — een kleinschalige AI-tool die een Vercel-medewerker had gekoppeld aan zijn Google Workspace-account.

Context.ai was eerder gecompromitteerd via Lumma Stealer-malware. [De aanvaller gebruikte de OAuth-tokens van Context.ai om in de Google Workspace van de Vercel-medewerker te komen](https://www.trendmicro.com/en_us/research/26/d/vercel-breach-oauth-supply-chain.html), en pivoteerde van daaruit naar interne Vercel-systemen. Het resultaat: [interne dashboards, medewerkersgegevens, API-sleutels, npm-tokens en GitHub-tokens werden buitgemaakt](https://techcrunch.com/2026/04/20/app-host-vercel-confirms-security-incident-says-customer-data-was-stolen-via-breach-at-context-ai/). De afpersingseis: 2 miljoen dollar.

Het pijnpunt: niemand bij Vercel was op de hoogte van de OAuth-koppeling die de medewerker had aangemaakt. Het was [shadow AI](https://coding.agency/kennisbank/shadow-ai-risicos-en-beleid) in optima forma — een medewerker die een handige AI-tool koppelt zonder het IT- of securityteam te informeren, waarmee onbedoeld een achterdeur wordt gecreëerd.

## Waarom OAuth-koppelingen zo'n aantrekkelijk doelwit zijn

OAuth is ontworpen om veilig te zijn — en op zichzelf is het protocol dat ook. Het probleem zit niet in OAuth zelf, maar in hoe organisaties ermee omgaan:

### 1. Tokens verlopen niet

Veel SaaS-integraties gebruiken langlevende OAuth-tokens die niet automatisch verlopen. [Bij de Klue-breach bleken tokens maanden oud te zijn](https://www.threatlocker.com/blog/klue-saas-supply-chain-compromise-through-long-lived-oauth-tokens) zonder dat ze ooit waren geroteerd. Een gestolen token kan daardoor maanden of jaren bruikbaar blijven — veel langer dan een gestolen wachtwoord, dat je kunt resetten.

### 2. Koppelingen krijgen te brede rechten

Wanneer een SaaS-tool vraagt om koppeling met je Salesforce, accepteren de meeste gebruikers de gevraagde permissions zonder kritisch te kijken. Veel kant-en-klare integraties vragen brede toegangsrechten — "toegang tot alle contacten en deals" — terwijl ze maar een fractie daarvan nodig hebben. [Die overbrede scope wordt een probleem zodra een aanvaller de token in handen krijgt](https://securityboulevard.com/2026/05/oauth-risk-explained-hidden-threats-in-saas/): hij heeft dezelfde brede toegang.

### 3. Niemand houdt het overzicht

In een gemiddelde organisatie met 10.000 gebruikers zijn [meer dan 4.300 apps gekoppeld aan Microsoft 365 en Google Workspace](https://spin.ai/blog/oauth-app-risk-2026-audit-control-google-microsoft-365/). Daarvan wordt 39% als hoog risico geclassificeerd en nog eens 28% als medium risico. Securityteams keuren koppelingen sneller goed dan ze ze kunnen reviewen, roteren of opruimen.

### 4. OAuth omzeilt MFA

Een van de meest onderschatte aspecten: een OAuth-token werkt onafhankelijk van multifactorauthenticatie. Als een gebruiker ooit met MFA heeft ingelogd en een OAuth-koppeling heeft goedgekeurd, kan de token daarna worden gebruikt zonder opnieuw MFA te hoeven doorlopen. In mei 2026 [waarschuwde de FBI voor phishingcampagnes via het Kali365-platform](https://www.cyberdefensemagazine.com/why-2026-will-be-the-year-of-saas-breaches/) die specifiek gericht waren op het stelen van Microsoft 365 OAuth-tokens — met succespercentages boven de 50%.

## Het verschil met dependency supply chain attacks

We schreven eerder over [supply chain attacks via software-dependencies](https://coding.agency/kennisbank/supply-chain-attacks-software-dependencies) — de aanvallen op npm-, Composer- en PyPI-pakketten. Dat type aanval richt zich op de *code* die je gebruikt om software te bouwen. De aanvaller stopt malware in een pakket dat developers installeren.

OAuth supply chain-aanvallen zijn fundamenteel anders:

- **Doelwit**: niet je broncode, maar je bedrijfsdata (CRM-gegevens, klantinformatie, interne communicatie)
- **Aanvalsvector**: niet een kwaadaardig pakket, maar een gecompromitteerde SaaS-leverancier wiens OAuth-tokens worden misbruikt
- **Wie geraakt wordt**: niet developers, maar iedereen in de organisatie die SaaS-tools koppelt
- **Detectie**: moeilijker, omdat OAuth-tokens zich gedragen als legitieme applicatietoegang — er is geen malware, geen verdacht bestand, geen vreemde code

Beide typen supply chain attacks zijn relevant, maar de OAuth-variant raakt een veel breder publiek binnen de organisatie en is vaak lastiger te detecteren.

## Wat kun je als organisatie doen?

Vijf stappen die je deze week kunt zetten om je OAuth-aanvalsoppervlak te verkleinen:

### 1. Inventariseer je actieve koppelingen

Begin met een volledig overzicht van alle OAuth-koppelingen in je Google Workspace, Microsoft 365 en Salesforce. De meeste beheerconsoles bieden dit inzicht — maar de meeste organisaties hebben het nog nooit opgezocht. Verwijder koppelingen die niet meer worden gebruikt of waarvan niemand weet waarvoor ze dienen.

### 2. Beperk wie koppelingen mag goedkeuren

Stel in je identiteitsprovider in dat nieuwe OAuth-koppelingen goedkeuring van een beheerder vereisen. In Google Workspace heet dit "App Access Control", in Microsoft Entra ID configureer je dit via "User consent settings". Dit voorkomt dat medewerkers zelfstandig koppelingen aanmaken — het mechanisme waardoor de Vercel-breach mogelijk was.

### 3. Eis scope-beperking bij SaaS-leveranciers

Wanneer een SaaS-tool om integratie-toegang vraagt, controleer dan welke permissions worden gevraagd. Een marketingtool die "volledige toegang tot alle Salesforce-objecten" vraagt terwijl hij alleen leestoegang tot contacten nodig heeft, is een onnodig risico. Vraag de leverancier om een integratie met minimale scope.

### 4. Implementeer token-rotatie

Langlevende tokens zijn de kern van het probleem. Configureer waar mogelijk automatische token-rotatie en stel maximale levensduren in. Bij [API-koppelingen](https://coding.agency/kennisbank/api-koppelingen-bouwen) die je zelf bouwt of laat bouwen, kun je dit vanaf het begin inrichten.

### 5. Monitor OAuth-activiteit

Stel alerts in voor ongewone OAuth-activiteit: tokens die vanuit onbekende IP-adressen worden gebruikt, koppelingen die buiten kantooruren data opvragen, of applicaties die plotseling veel meer data ophalen dan gebruikelijk. Dit had zowel bij de Klue- als bij de Vercel-breach een vroeger detectiemoment opgeleverd.

## Waarom maatwerk-integraties veiliger kunnen zijn

Het klinkt misschien paradoxaal, maar een [op maat gebouwde API-koppeling](https://coding.agency/kennisbank/wat-is-een-api-koppeling) kan veiliger zijn dan een kant-en-klare SaaS-connector. De reden: bij maatwerk heb je volledige controle over de scope, de tokenlevensduur en de dataflow.

Een kant-en-klare connector als Klue vraagt brede OAuth-rechten om zo veel mogelijk klanten te bedienen. Een maatwerk-integratie vraagt alleen de permissions die jouw specifieke usecase nodig heeft — en niets meer. Daarnaast loop je bij een maatwerk-koppeling niet het risico dat de leverancier van de connector wordt gehackt en jouw tokens worden buitgemaakt.

Concrete voordelen van maatwerk-integraties vanuit beveiligingsperspectief:

- **Principle of least privilege**: je vraagt alleen de minimaal noodzakelijke rechten op de systemen die je koppelt
- **Geen derde partij in de keten**: data gaat direct van systeem A naar systeem B, zonder tussenliggende SaaS-leverancier die tokens opslaat
- **Token-rotatie ingebouwd**: je implementeert automatische verversing van tokens als onderdeel van het ontwerp
- **Volledige [audit trail](https://coding.agency/kennisbank/audit-trail-in-software)**: je logt precies welke data wanneer wordt opgehaald en door welk proces

## NIS2 en de Cyberbeveiligingswet

De [Cyberbeveiligingswet](https://coding.agency/kennisbank/nieuwe-cyberwetten-2026-cbw-cra) — de Nederlandse implementatie van de NIS2-richtlijn — is op 7 juli 2026 aangenomen door de Eerste Kamer en treedt naar verwachting op 15 augustus 2026 in werking. De wet verplicht organisaties in essentiële en belangrijke sectoren om de beveiliging van hun *toeleveringsketen* actief te beheersen.

SaaS-koppelingen via OAuth vallen hier expliciet onder. Als je CRM gekoppeld is aan een marketingtool die wordt gehackt, en daardoor klantgegevens lekken, ben je als organisatie mede verantwoordelijk als je geen aantoonbare maatregelen had getroffen om dit risico te beheersen. De Klue-breach is precies het scenario waar [NIS2](https://coding.agency/kennisbank/nis2-en-softwareontwikkeling) voor waarschuwt.

## 2026 wordt het jaar van de SaaS-breach

De Klue-breach, de Vercel-hack en de golf van OAuth-phishingcampagnes zijn geen incidenten — ze zijn een patroon. [Cyber Defense Magazine voorspelde begin 2026 dat dit het jaar van de SaaS-breaches zou worden](https://www.cyberdefensemagazine.com/why-2026-will-be-the-year-of-saas-breaches/), en die voorspelling komt uit.

De reden is structureel: organisaties hebben de afgelopen jaren massaal SaaS-tools gekoppeld om productiviteit te verhogen, maar de governance van die koppelingen is niet meegegroeid. Het resultaat is een aanvalsoppervlak dat niemand volledig overziet — en dat aanvallers steeds beter weten te vinden.

De les is niet dat je moet stoppen met koppelen. Integraties tussen systemen zijn essentieel voor efficiënte bedrijfsvoering. De les is dat je koppelingen met dezelfde zorgvuldigheid moet behandelen als je eigen software: bewust ontworpen, minimaal geprivilegieerd, actief gemonitord en regelmatig opgeruimd.

## Onze aanpak

Bij Coding Agency bouwen we [API-koppelingen](https://coding.agency/kennisbank/wat-is-een-api-koppeling) met security by design. Dat betekent: strikte scope-beperking, korte tokenlevensduur, automatische rotatie en volledige logging. We adviseren ook over je bestaande integratieladschap — welke koppelingen zijn overbodig, welke hebben te brede rechten, en waar kun je kant-en-klare connectors vervangen door veiligere maatwerk-alternatieven.

Wil je weten hoe het gesteld is met de OAuth-koppelingen in jouw organisatie? [Neem contact op](https://coding.agency/contact) — we helpen je een inventarisatie te maken en de grootste risico's aan te pakken.

##  Veelgestelde vragen 

 Een OAuth-token is een digitale sleutel die een applicatie toestemming geeft om namens jou toegang te krijgen tot een ander systeem — zonder dat je je wachtwoord deelt. Wanneer je een SaaS-tool koppelt aan bijvoorbeeld Salesforce of Google Workspace, geef je via OAuth toestemming. Die toestemming wordt vastgelegd in een token. Het probleem: als een aanvaller dat token bemachtigt, heeft hij dezelfde toegang als de applicatie — zonder dat jouw wachtwoord nodig is. 

 Nee. Bij een dependency supply chain attack wordt kwaadaardige code in een softwarepakket (npm, Composer, PyPI) gestopt dat developers installeren. Bij een SaaS OAuth-aanval gaat het om de koppelingen tussen bedrijfsapplicaties: een aanvaller compromitteert één SaaS-leverancier en gebruikt de opgeslagen OAuth-tokens om bij alle gekoppelde systemen van alle klanten binnen te komen. Het doelwit is je bedrijfsdata, niet je code. 

 In Google Workspace: ga naar Admin Console → Beveiliging → API-beheer → App-toegang beheren. In Microsoft 365: ga naar Entra ID → Enterprise Applications → filter op User consent. In Salesforce: ga naar Setup → Connected Apps OAuth Usage. Je zult waarschijnlijk verrast zijn door het aantal actieve koppelingen — een gemiddelde organisatie met 10.000 gebruikers heeft ruim 4.300 gekoppelde apps. 

 Wij bouwen directe, op maat gemaakte integraties met strikte scope-beperking, korte tokenlevensduur en automatische token-rotatie. In tegenstelling tot kant-en-klare SaaS-connectors die vaak brede toegangsrechten vragen, vragen onze koppelingen alleen de minimaal noodzakelijke permissions. Daarnaast adviseren we over OAuth-governance en helpen we bij het opruimen van verouderde integraties. 

 Gerelateerde expertise — Koppelingen &amp; integraties **API-koppeling laten maken?** Wij bouwen betrouwbare integraties met monitoring, retry-logica en vaste prijs per koppeling. Vanaf € 1.000.

 [ Bekijk onze aanpak ](https://coding.agency/expertises/api-koppeling-laten-maken) [ Gratis prijsindicatie ](https://coding.agency/prijsindicatie) 

 Onderwerpen SaaS OAuth Security Supply Chain Integraties API Salesforce NIS2 

  ##  Gerelateerde artikelen 

 [ 11 mei 2026 

 Architectuur 

###  Supply chain attacks: hoe gekaapte dependencies jouw software bedreigen 

 In 2026 werden Axios, Checkmarx en SAP npm-pakketten gecompromitteerd door statelijke hackers. Deze aanvallen raken niet alleen Big Tech — e...

 ](https://coding.agency/kennisbank/supply-chain-attacks-software-dependencies) [ 1 nov. 2024 

 Architectuur 

###  Security by design in Laravel 

 Waarom beveiliging geen feature is die je later toevoegt, maar een ontwerpprincipe dat je vanaf het eerste commit doorvoert. Over threat mod...

 ](https://coding.agency/kennisbank/security-by-design-laravel) [ 27 mrt. 2026 

 AI 

###  Shadow AI: de risico's van onzichtbaar AI-gebruik 

 Medewerkers gebruiken AI-tools zonder dat IT het weet. Wat zijn de risico's en hoe maak je er beleid voor?

 ](https://coding.agency/kennisbank/shadow-ai-risicos-en-beleid) 

##  Hulp nodig? 

Vragen over dit onderwerp? Laten we het erover hebben.

 [ Neem contact op ](https://coding.agency/contact)

---
*Bron: [Coding Agency](https://coding.agency/kennisbank/saas-koppelingen-oauth-aanvalsvector)*