Turuanalüüsi platvormi Klue kaudu toime pandud tarneahela ründes varastati Salesforce’i andmeid sadadelt klientidelt, kelle hulgas on hulk küberturvalisuse ettevõtteid. Andmevarguse ja väljapressimise taga on uus rühmitus nimega Icarus. Klue, mis pakub turuanalüüsi enam kui 250 000 ettevõttele üle maailma, ei ole avaldanud täpset ohvrite arvu.
Huntress oli üks esimesi turvafirmasid, kes rünnakust teatas, kinnitades, et varastati äriettevõtete kontaktid, hinnapakkumised ja müügiga seotud andmed. Paroolid, makseinfo ega tehniline telemeetria ei sattunud ohtu. Hiljem teatasid sarnasest andmelekkest ka Recorded Future, Tanium, ReliaQuest, Jamf, Gong, HackerOne, Kudelski Security, Snyk, Insurity ja Sprout Social.
Rünnak toimus 11. juunil ning Klue avastas sissetungi päev hiljem. Klue tegevjuhi Jason Smithi sõnul kasutas ründaja vananenud sisselogimisandmeid, et hankida OAuth-tokenid, mis võimaldasid ligipääsu Salesforce’ile ja teistele platvormidele. Klue katkestas integratsioonid Salesforce’i, Gongi, HubSpoti, SharePointi ja Google Drive’iga ning palkas uurimiseks CrowdStrike’i. Mandianti tehnoloogiajuht Charles Carmakal soovitas Klue klientidel viivitamatult auditeerida süsteeme ja vahetada sisselogimisandmeid.