Salesloft ডেটা লঙ্ঘন

একটি বৃহৎ আকারের সাইবার আক্রমণ সেলসলফ্টের ড্রিফ্ট এআই চ্যাট এজেন্টের সাথে ইন্টিগ্রেশনকে ঝুঁকির মুখে ফেলেছে, যার ফলে হ্যাকাররা OAuth চুরি করতে এবং টোকেন রিফ্রেশ করতে সক্ষম হয়েছে। UNC6395 নামে ট্র্যাক করা হুমকিদাতা এই চুরি করা টোকেনগুলিকে কাজে লাগিয়ে সেলসফোর্স গ্রাহক পরিবেশ লঙ্ঘন করেছে। নিরাপত্তা বিশেষজ্ঞরা 700 টিরও বেশি সংস্থাকে সম্ভাব্যভাবে প্রভাবিত হিসাবে চিহ্নিত করেছেন।

লঙ্ঘনের সময়রেখা

তদন্তে জানা গেছে যে, ৮ আগস্ট থেকে ১৮ আগস্ট, ২০২৫ পর্যন্ত এই দূষিত কার্যকলাপটি পরিচালিত হয়েছিল। এই সময়কালে, আক্রমণকারীরা সেলসফোর্স ইনস্ট্যান্স অনুপ্রবেশের জন্য ড্রিফ্টের সাথে সংযুক্ত OAuth টোকেন ব্যবহার করেছিল। একবার ভেতরে প্রবেশ করার পর, তারা বিপুল পরিমাণে কর্পোরেট ডেটা রপ্তানি করেছিল, যার লক্ষ্য ছিল সংবেদনশীল শংসাপত্র সংগ্রহ করা যেমন:

• অ্যামাজন ওয়েব সার্ভিসেস (AWS) অ্যাক্সেস কী
• পাসওয়ার্ড
• স্নোফ্লেক-সম্পর্কিত টোকেন

আক্রমণ পদ্ধতি এবং বাণিজ্য

এই প্রচারণাটিকে যে বিষয়টি আলাদা করে তুলেছে তা হল UNC6395 এর পদ্ধতিগত নির্ভুলতা। তারা একবারের জন্য অনুপ্রবেশ করেনি বরং শত শত সেলসফোর্স ভাড়াটেদের উপর কাঠামোগত এবং বারবার আক্রমণ চালিয়েছে। মূল পর্যবেক্ষণগুলির মধ্যে রয়েছে:

সুশৃঙ্খলভাবে কার্যকর করা - শংসাপত্র সনাক্তকরণ এবং বের করার জন্য পদ্ধতিগতভাবে প্রশ্নগুলি চালানো হয়েছিল।

অপারেশনাল সচেতনতা - আক্রমণকারীরা তাদের কার্যকলাপের চিহ্ন লুকানোর জন্য কোয়েরি জবগুলি মুছে ফেলেছিল।

লক্ষ্য নির্বাচন - লঙ্ঘিত অনেক প্রতিষ্ঠানই প্রযুক্তি এবং নিরাপত্তা প্রদানকারী ছিল, যা ইঙ্গিত দেয় যে এটি সরবরাহ শৃঙ্খলে অনুপ্রবেশের প্রচেষ্টা হতে পারে।

বিক্রেতা এবং পরিষেবা প্রদানকারীদের সাথে আপস করে, গ্রুপটি গ্রাহক এবং অংশীদার বাস্তুতন্ত্রের উপর আক্রমণ প্রসারিত করার জন্য নিজেদের অবস্থানে নিয়ে আসে।

সেলসলফ্ট এবং সেলসফোর্সের প্রতিক্রিয়া

২০ আগস্ট, ২০২৫ তারিখে সেলসলফ্ট একটি নির্দেশিকা জারি করে, লঙ্ঘনের বিষয়টি স্বীকার করে এবং নিশ্চিত করে যে তারা সমস্ত ড্রিফ্ট-সেলসফোর্স সংযোগ বাতিল করেছে। এরপর সেলসফোর্স তাদের নিজস্ব বিবৃতি প্রকাশ করে, উল্লেখ করে যে কেবলমাত্র 'অল্প সংখ্যক গ্রাহক' সরাসরি প্রভাবিত হয়েছেন। ঘটনার পর উভয় কোম্পানিই তাৎক্ষণিক পদক্ষেপ নিয়েছে:

• অবৈধ সক্রিয় অ্যাক্সেস এবং রিফ্রেশ টোকেন
• অ্যাপএক্সচেঞ্জ থেকে ড্রিফ্ট সরানো হয়েছে
• আক্রমণ নিয়ন্ত্রণ এবং প্রভাব মূল্যায়নের জন্য সহযোগিতা করেছে

সেলসলফ্ট জোর দিয়ে বলেছেন যে এই ঘটনাটি সেলসফোর্স ইন্টিগ্রেশন ছাড়া সংস্থাগুলিকে প্রভাবিত করে না।

বিস্তৃত হুমকির ল্যান্ডস্কেপ

আর্থিকভাবে অনুপ্রাণিত গোষ্ঠীগুলির জন্য সেলসফোর্স পরিবেশ ক্রমশ লাভজনক লক্ষ্যবস্তুতে পরিণত হচ্ছে। অন্যান্য ক্লাস্টার, যেমন UNC6040 এবং UNC6240 (শাইনিহান্টার্স), SaaS পরিবেশকে কাজে লাগানোর জন্য পরিচিত, এমনকি UNC6240 প্রাথমিক অ্যাক্সেস প্রচারণার জন্য Scattered Spider (UNC3944) এর সাথে অংশীদারিত্ব করেছে।

বর্তমানে, UNC6395-এর সাথে এই গোষ্ঠীগুলির সংযোগের কোনও প্রমাণ নেই, যা এটিকে একটি নতুন এবং স্বতন্ত্র হুমকি গোষ্ঠীতে পরিণত করেছে। তবে, এর প্রচারণার স্কেল, ফোকাস এবং পরিশীলিততা এটিকে উচ্চ-ঝুঁকিপূর্ণ প্রতিপক্ষের একই দলে রাখে।

প্রশমন এবং পরবর্তী পদক্ষেপ

সেলসলফ্ট তদন্ত এবং প্রতিকার প্রচেষ্টায় সহায়তা করার জন্য তৃতীয় পক্ষের নিরাপত্তা বিক্রেতাদের নিযুক্ত করেছে। কোম্পানিটি প্রশাসকদেরকে ইন্টিগ্রেশন পুনরুদ্ধার করতে সেলসফোর্স সংযোগগুলি পুনরায় প্রমাণীকরণ করতে এবং অতিরিক্ত নিরাপত্তা সতর্কতা অবলম্বন করার জন্য অনুরোধ করছে।

মূল সুপারিশগুলির মধ্যে রয়েছে:

• বিদ্যমান API কীগুলি প্রত্যাহার এবং ঘোরানো
• নতুন কী দিয়ে ড্রিফ্ট ইন্টিগ্রেশন পুনঃসংযোগ করা হচ্ছে
• সন্দেহজনক প্রশ্ন এবং সম্ভাব্য ডেটা এক্সপোজারের জন্য লগ পর্যালোচনা করা
• প্রভাব নির্ধারণের জন্য আরও গভীর তদন্ত করা

API কী-এর মাধ্যমে ড্রিফ্ট সংযোগ পরিচালনাকারী প্রতিষ্ঠানগুলির জন্য, প্রোঅ্যাকটিভ কী রোটেশনের পরামর্শ দেওয়া হচ্ছে। তবে, OAuth ইন্টিগ্রেশনগুলি ইতিমধ্যেই সরাসরি Salesloft দ্বারা সমাধান করা হচ্ছে।

ফাইনাল টেকওয়ে

এই প্রচারণা SaaS ইকোসিস্টেমের মধ্যে তৃতীয় পক্ষের ইন্টিগ্রেশনের ক্রমবর্ধমান ঝুঁকি তুলে ধরে। চুরি করা OAuth টোকেনগুলিকে অপব্যবহার করে, UNC6395 লক্ষ্যবস্তু, গোপনীয় এবং সরবরাহ শৃঙ্খল-ভিত্তিক কার্যক্রম পরিচালনা করার ক্ষমতা প্রদর্শন করেছে। এই ইভেন্টটি একটি স্মারক হিসেবে কাজ করে যে ক্লাউড-ভিত্তিক প্ল্যাটফর্মগুলি, যদিও শক্তিশালী, তবুও ডিজিটাল সরবরাহ শৃঙ্খলে বিশ্বাসের সম্পর্ককে কাজে লাগাতে চাওয়া হুমকিদাতাদের জন্য প্রধান লক্ষ্যবস্তুতে পরিণত হয়েছে।