Klue: diefstal uit Salesforce-omgeving klanten begon met gestolen credential

In dit artikel:

De hack bij marktonderzoeksbedrijf Klue begon met een oude, in 2022 gedeelde inloggegevens van een externe partij. Via die zogenoemde “legacy credential” kregen aanvallers toegang tot een integratiedienst en konden zij OAuth-tokens buitmaken, waardoor ze verder konden doordringen in de Salesforce-, Slack- en SharePoint-omgevingen van klanten. Daardoor zijn volgens Klue en TechCrunch meerdere organisaties slachtoffer geworden van datadiefstal, waaronder bekende cybersecurity- en softwarebedrijven zoals Gong, Jamf, HackerOne, OneTrust, Recorded Future, Snyk, Tanium en LastPass.

Klue levert een platform waarmee bedrijven data uit hun eigen systemen koppelen en analyseren. Juist die koppelingen maakten de aanval mogelijk: eenmaal in bezit van de tokens konden de hackers zich voordoen als legitieme verbindingen met klantomgevingen. Het bedrijf zegt dat de betreffende credential ooit onderdeel was van een beperkte pilot, maar geeft geen details over de aard van die toegang of hoe lang die pilot liep. Ook is nog onduidelijk hoeveel klanten precies zijn getroffen, al zegt Klue meer dan 250.000 klanten te hebben.