Klue zufolge reagierte das Unternehmen unmittelbar nach der Entdeckung des Vorfalls. Betroffene Zugangsdaten und Tokens wurden widerrufen, unautorisierter Code entfernt, betroffene Integrationen deaktiviert, eine Untersuchung eingeleitet und Strafverfolgungsbehörden informiert. Zudem zog Klue CrowdStrike zur Unterstützung der Reaktion hinzu.

In seiner Stellungnahme erklärte CEO Jason Smith, die Untersuchung habe ergeben, dass der Angreifer über eine kompromittierte ältere Zugangsdaten, die einem Integrationsdienst zugeordnet war, eingedrungen sei. Mit diesem Zugriff habe er OAuth-Tokens beschafft, die die Verbindung zwischen Klue und bestimmten Drittplattformen, darunter Salesforce, ermöglichten. Anschließend sei auf Daten in mehreren verbundenen Kundenumgebungen zugegriffen worden.

Die Sicherheitsfirmen ReliaQuest und Huntress hatten zuvor beschrieben, wie Angreifer kompromittierte Klue-Battlecards-Integrationen missbrauchten, um Daten aus Salesforce-CRM-Umgebungen mehrerer Organisationen zu stehlen. ReliaQuest beobachtete dabei, dass die Täter OAuth-Tokens erzeugten und Python-Skripte nutzten, um über längere Zeiträume die Salesforce-API abzufragen, während Daten abflossen.

Huntress legte später offen, dass auch die eigene Salesforce-Umgebung von dem Klue-Vorfall betroffen war. Nach Angaben des Unternehmens umfassten die entwendeten Daten Geschäftskontakte, Vertriebs-Kommunikation, Preisinformationen und weitere Datensätze.

Inzwischen hat die Erpressergruppe Icarus den Angriff auf ihrer Leak-Seite öffentlich für sich beansprucht. Dort heißt es sinngemäß, Klue.com sei kürzlich von der Gruppe kompromittiert worden und mehrere Salesforce-Instanzen weiterer Unternehmen, die Partner von Klue gewesen seien, seien exfiltriert worden. Die Täter forderten Klue und betroffene Organisationen außerdem auf, sie über die Messaging-Plattform Session zu kontaktieren, um eine Veröffentlichung der gestohlenen Daten zu verhindern.

BleepingComputer und Huntress hatten den Vorfall bereits zuvor mit der Icarus-Operation in Verbindung gebracht. Laut BleepingComputer stützte sich diese Zuordnung auf Erpressungs-E-Mails, die betroffene Organisationen erhalten hatten. Huntress verband die Operation unabhängig davon mit Icarus, unter anderem über Session-Messenger-IDs aus den Erpressungsnachrichten und die Leak-Seite der Gruppe.

Seitdem haben weitere Betroffene offengelegt, von den Angriffen betroffen gewesen zu sein. Genannt werden Recorded Future, Tanium, Jamf, Sprout Social, Gong und Insurity. Fast alle dieser Unternehmen erklärten, der Vorfall habe zum Diebstahl von Daten aus ihren Salesforce-Instanzen geführt, nicht aber ihre Plattformen, ihre Infrastruktur, Zahlungsinformationen oder interne Systeme beeinträchtigt.

Mehrere Organisationen warnten zudem, dass die entwendeten Geschäftskontaktdaten für nachgelagerte Phishing-, Social-Engineering- und Erpressungskampagnen genutzt werden könnten. Klue selbst hält nach aktuellem Stand daran fest, dass keine direkt in seiner eigenen Plattform gespeicherten Kundeninhalte betroffen waren.