De hack van marktonderzoeksbureau Klue, waardoor aanvallers data uit de Salesforce-omgevingen van klanten konden stelen, begon met een gestolen 'legacy credential' dat in 2022 aan een derde partij was verstrekt. Dat zegt het bedrijf in een blogposting en laat het tegenover TechCrunch weten. Door de hack hebben allerlei organisaties, waaronder cybersecuritybedrijven, te maken gekregen met datalekken.

Klue biedt een 'market intelligence platform' waarbij bedrijven de oplossingen van Klue integreren met oplossingen waarvan ze gebruikmaken, zoals Salesforce, Slack en SharePoint. Zo komt data uit de omgevingen van klanten, bijvoorbeeld een Salesforce-omgeving, beschikbaar binnen het platform van Klue waar het verder wordt verwerkt. Voor de koppeling tussen de klantomgevingen en het Klue-platform wordt gebruikgemaakt van OAuth tokens. De aanvallers die Klue hackten wisten deze tokens te stelen en konden zo toegang krijgen tot de Salesforce-omgevingen en andere platforms van klanten.

Onder de getroffen klanten bevinden zich meerdere it- en cybersecuritybedrijven waaronder Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social, Tanium en LastPass. Klue meldt in een blogposting dat de hackers toegang wisten te krijgen via een 'legacy credential' van een integratiedienst. Tegenover TechCrunch zegt het bedrijf dat de credential in 2022 als onderdeel van een 'beperkte pilot' aan een derde partij was verstrekt. Om wat voor soort credential het precies gaat en wat het doel van de pilot was en hoelang die liep is niet bekendgemaakt. Ook heeft Klue nog niet laten weten hoeveel klanten zijn getroffen. Klue claimt dat het meer dan 250.000 klanten heeft.