İş zekası sağlayıcısı Klue'de yaşanan veri ihlali, aralarında siber güvenlik firmalarının da bulunduğu birçok şirketi etkiledi. Huntress, Recorded Future, Jamf ve Tanium, Klue'nin hizmetlerini kullandıklarını doğrularken, ihlalin Salesforce hesaplarına yetkisiz erişimle sonuçlandığını açıkladı. Saldırganlar, Klue entegrasyonları için kullanılan OAuth token'larını ele geçirerek bu hesaplara sızdı.
Klue CEO'su Jason Smith'in 19 Haziran'da yayınladığı resmi açıklamaya göre, şirket 12 Haziran'da bir izinsiz giriş tespit etti. Yetkisiz aktör, eski bir kimlik bilgisi kullanarak Klue'nin entegrasyon altyapısına, özellikle Klue Battlecards uygulamasına erişti. Bu erişimle OAuth token'larını ele geçirdi ve Klue'yi Salesforce gibi üçüncü taraf platformlara bağladı. Ardından müşteri verilerine erişerek bu token'ları kullanıp Klue'yi taklit etti ve hassas bilgileri sızdırdı.
Klue, etkilenen kimlik bilgilerini ve token'ları iptal ederek, yetkisiz kodları kaldırdı ve potansiyel olarak etkilenen entegrasyonları devre dışı bıraktı. Ayrıca kolluk kuvvetlerine bildirimde bulunuldu ve iç soruşturma başlatıldı. CrowdStrike adli destek için görevlendirildi. Salesforce da 17 Haziran'da Klue Battlecards entegrasyonunu devre dışı bıraktığını duyurdu. Huntress, müşteri verilerinin (iş adları, denenen/kullanılan ürünler, abonelik detayları, iletişim bilgileri) tehlikeye girmiş olabileceğini bildirdi.
Recorded Future, Klue entegrasyonunu devre dışı bırakarak adli analiz yaptı ve üçüncü taraf entegrasyonlarının sürekli izlenmesinin kritik önemini vurguladı. ReliaQuest, şüpheli etkinliği ilk tespit eden firma oldu ancak Klue kullanmadıklarını ve ihlalden etkilenmediklerini belirtti. Saldırıyı 19 Haziran'da yeni bir siber gasp grubu olan Icarus üstlendi. Grup, 22 Haziran'a kadar yanıt verilmezse verilerin yayınlanacağı uyarısında bulundu.