Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Vulnerabilitat Violació de dades de Salesloft

Violació de dades de Salesloft

El Mezo el Vulnerabilitat, Amenaça persistent avançada (APT)
Traduir a:

Un ciberatac a gran escala ha compromès la integració de Salesloft amb l'agent de xat Drift AI, permetent als pirates informàtics robar tokens d'OAuth i d'actualització. L'actor d'amenaces, rastrejat com a UNC6395, va explotar aquests tokens robats per violar els entorns dels clients de Salesforce. Els experts en seguretat han identificat més de 700 organitzacions com a potencialment afectades.

Cronologia de la violació

Les investigacions revelen que l'activitat maliciosa va abastar del 8 al 18 d'agost de 2025. Durant aquest període, els atacants van aprofitar tokens OAuth compromesos vinculats a Drift per infiltrar-se en instàncies de Salesforce. Un cop a dins, van exportar quantitats massives de dades corporatives amb l'objectiu de recopilar credencials sensibles com ara:

  • Claus d'accés d'Amazon Web Services (AWS)
  • Contrasenyes
  • Fitxes relacionades amb el floc de neu

Mètodes d’atac i oficis

El que fa que aquesta campanya destaqui és la precisió metòdica de l'UNC6395. No van dur a terme una intrusió puntual, sinó que van llançar atacs estructurats i repetits contra centenars de clients de Salesforce. Les observacions clau inclouen:

Execució disciplinada : es van executar consultes sistemàticament per identificar i extreure credencials.

Consciència operativa : els atacants van suprimir tasques de consulta per ocultar rastres de les seves activitats.

Selecció d'objectius : moltes de les organitzacions atacades eren proveïdores de tecnologia i seguretat, cosa que suggereix que podria ser un intent d'infiltració a la cadena de subministrament.

En comprometre proveïdors i proveïdors de serveis, el grup es va posicionar per expandir els atacs aigües avall als ecosistemes de clients i socis.

Resposta de Salesloft i Salesforce

Salesloft va emetre un avís el 20 d'agost de 2025, reconeixent la bretxa i confirmant que havia revocat totes les connexions entre Drift i Salesforce. Salesforce va fer la seva pròpia declaració, assenyalant que només un "petit nombre de clients" es van veure afectats directament. Ambdues empreses han pres mesures immediates després de l'incident:

  • Tokens d'accés i actualització actius invalidats
  • S'ha eliminat Drift d'AppExchange
  • Van col·laborar per contenir l'atac i avaluar-ne l'impacte

Salesloft va emfatitzar que l'incident no afecta les organitzacions sense integracions de Salesforce.

Panorama d’amenaces més ampli

Els entorns de Salesforce s'han convertit cada cop més en objectius lucratius per a grups amb interessos financers. Altres clústers, com ara UNC6040 i UNC6240 (ShinyHunters), són coneguts per explotar entorns SaaS, i UNC6240 fins i tot s'ha associat amb Scattered Spider (UNC3944) per a campanyes d'accés inicial.

Actualment, no hi ha proves que vinculin UNC6395 amb aquests grups, cosa que el converteix en un nou i diferent grup d'amenaces. Tanmateix, l'escala, l'enfocament i la sofisticació de la seva campanya el situen a la mateixa lliga d'adversaris d'alt risc.

Mitigació i propers passos

Salesloft ha contractat proveïdors de seguretat externs per donar suport a les investigacions i els esforços de remediació. L'empresa insta els administradors a tornar a autenticar les connexions de Salesforce per restaurar les integracions i prendre precaucions de seguretat addicionals.

Les recomanacions clau inclouen:

  • Revocació i rotació de claus API existents
  • Reconnectant les integracions de Drift amb les noves claus
  • Revisió dels registres per a consultes sospitoses i possible exposició de dades
  • Realització d'investigacions més profundes per determinar l'impacte

Per a les organitzacions que gestionen connexions Drift a través de claus API, es recomana fermament la rotació proactiva de claus. Tanmateix, Salesloft ja està gestionant directament les integracions d'OAuth.

Conclusió final

Aquesta campanya destaca els riscos creixents de les integracions de tercers dins dels ecosistemes SaaS. En abusar de tokens OAuth robats, UNC6395 va demostrar la capacitat de dur a terme operacions dirigides, discretes i orientades a la cadena de subministrament. L'esdeveniment serveix com a recordatori que les plataformes basades en el núvol, tot i ser potents, continuen sent objectius principals per als actors d'amenaces que busquen explotar les relacions de confiança a través de la cadena de subministrament digital.

Tendència

Més vist

Carregant...