Únik dat ze Salesloftu
Rozsáhlý kybernetický útok narušil integraci společnosti Salesloft s chatovacím agentem Drift AI, což hackerům umožnilo ukrást tokeny OAuth a obnovovací tokeny. Útočník, sledovaný jako UNC6395, zneužil tyto ukradené tokeny k narušení zákaznických prostředí Salesforce. Bezpečnostní experti identifikovali více než 700 organizací jako potenciálně postižených.
Obsah
Časová osa porušení
Vyšetřování odhalilo, že škodlivá aktivita probíhala od 8. do 18. srpna 2025. Během tohoto období útočníci zneužili kompromitované tokeny OAuth propojené s Driftem k infiltraci instancí Salesforce. Uvnitř exportovali obrovské množství firemních dat s cílem shromáždit citlivé přihlašovací údaje, jako například:
- Přístupové klíče k Amazon Web Services (AWS)
- Hesla
- Tokeny související se sněhovými vločkami
Metody útoku a řemesla
Tato kampaň vyniká metodickou přesností UNC6395. Neprovedli jednorázový útok, ale místo toho spustili strukturované a opakované útoky na stovky nájemníků Salesforce. Mezi klíčová pozorování patří:
Disciplinované provádění – Systematicky byly spouštěny dotazy za účelem identifikace a extrahování přihlašovacích údajů.
Provozní povědomí – Útočníci smazali úlohy dotazů, aby zakryli stopy svých aktivit.
Výběr cíle – Mnoho napadených organizací byli poskytovatelé technologií a zabezpečení, což naznačuje, že by se mohlo jednat o pokus o infiltraci dodavatelského řetězce.
Ohrožením dodavatelů a poskytovatelů služeb si skupina vytvořila pozici, která jí umožní rozšířit útoky do ekosystémů zákazníků a partnerů.
Reakce společností Salesloft a Salesforce
Společnost Saleloft vydala 20. srpna 2025 upozornění, v němž potvrdila narušení bezpečnosti a zrušila všechna propojení mezi Drift a Salesforce. Salesforce následně vydala vlastní prohlášení, v němž uvedla, že přímo postižen byl pouze „malý počet zákazníků“. Obě společnosti po incidentu podnikly okamžité kroky:
- Neplatné aktivní přístupové a obnovovací tokeny
- Odstraněn Drift z AppExchange
- Spolupracovali na zvládnutí útoku a posouzení jeho dopadu
Společnost Salesloft zdůraznila, že incident se netýká organizací bez integrací Salesforce.
Širší prostředí hrozeb
Prostředí Salesforce se stále častěji stávají lukrativními cíli pro finančně motivované skupiny. Další klastry, jako například UNC6040 a UNC6240 (ShinyHunters), jsou známé využíváním prostředí SaaS, přičemž UNC6240 dokonce spolupracuje se společností Scattered Spider (UNC3944) na kampaních pro počáteční přístup.
V současné době neexistují žádné důkazy, které by spojovaly UNC6395 s těmito skupinami, což z něj činí nový a samostatný klastr hrozeb. Rozsah, zaměření a sofistikovanost jeho kampaně jej však řadí do stejné ligy vysoce rizikových protivníků.
Zmírnění a další kroky
Společnost Salesloft najala nezávislé dodavatele bezpečnostních řešení, aby podpořila vyšetřování a nápravné práce. Společnost naléhavě žádá administrátory, aby znovu ověřili připojení Salesforce, obnovili integrace a přijali dodatečná bezpečnostní opatření.
Mezi klíčová doporučení patří:
- Zrušení a rotace stávajících klíčů API
- Opětovné propojení integrací Drift s novými klíči
- Kontrola protokolů pro podezřelé dotazy a potenciální úniky dat
- Provedení hlubšího vyšetřování k určení dopadu
Pro organizace spravující připojení Drift prostřednictvím klíčů API se důrazně doporučuje proaktivní rotace klíčů. Integrace OAuth však již jsou přímo řešeny společností Salesloft.
Závěrečné shrnutí
Tato kampaň zdůrazňuje rostoucí rizika integrací třetích stran v rámci ekosystémů SaaS. Zneužitím ukradených tokenů OAuth prokázala UNC6395 schopnost provádět cílené, nenápadné a na dodavatelský řetězec orientované operace. Tato událost slouží jako připomínka toho, že cloudové platformy, ačkoli jsou mocné, zůstávají hlavním cílem útočníků, kteří se snaží zneužít vztahy důvěry v celém digitálním dodavatelském řetězci.
