Monen lisenssin alennustarjous
Uhatietokanta Haavoittuvuus Salesloft-tietomurto

Salesloft-tietomurto

Vuonna Mezo vuonna Haavoittuvuus, Advanced Persistent Threat (APT)
Käännä:

Laajamittainen kyberhyökkäys on vaarantanut Salesloftin integraation Drift AI -keskusteluagenttiin, minkä ansiosta hakkerit ovat voineet varastaa OAuth- ja refresh-tokeneja. Uhkatoimija, jota jäljitettiin nimellä UNC6395, hyödynsi näitä varastettuja tokeneita murtautuakseen Salesforcen asiakasympäristöihin. Tietoturva-asiantuntijat ovat tunnistaneet yli 700 organisaatiota, joihin hyökkäys saattaa vaikuttaa.

Rikkomisen aikajana

Tutkimukset paljastavat, että haitallinen toiminta tapahtui 8.–18. elokuuta 2025. Tänä aikana hyökkääjät hyödynsivät Driftiin sidottuja vaarantuneita OAuth-tokeneja tunkeutuakseen Salesforce-instansseihin. Sisään päästyään he veivät valtavia määriä yritystietoja ja pyrkivät keräämään arkaluonteisia tunnistetietoja, kuten:

  • Amazon Web Servicesin (AWS) käyttöavaimet
  • Salasanat
  • Lumihiutaleisiin liittyvät merkit

Hyökkäysmenetelmät ja kauppataito

Tämän kampanjan erottaa muista UNC6395-hyökkäyksen metodinen tarkkuus. He eivät tehneet kertaluonteista tunkeutumista, vaan käynnistivät strukturoituja ja toistuvia hyökkäyksiä satoihin Salesforce-käyttäjiin. Keskeisiä havaintoja ovat:

Kurinalainen toteutus – Kyselyitä suoritettiin järjestelmällisesti tunnistetietojen tunnistamiseksi ja poimimiseksi.

Operatiivinen tietoisuus – Hyökkääjät poistivat kyselytehtäviä peittääkseen toimintansa jäljet.

Kohteen valinta – Monet tietomurron kohteena olleista organisaatioista olivat teknologia- ja tietoturvatoimittajia, mikä viittaa siihen, että kyseessä voisi olla toimitusketjuun tunkeutumisyritys.

Vahingoittamalla toimittajia ja palveluntarjoajia ryhmä asettui asemaan laajentaa hyökkäyksiä asiakas- ja kumppaniekosysteemeihin.

Salesloftin ja Salesforcen vastaus

Salesloft antoi 20. elokuuta 2025 tiedotteen, jossa se myönsi tietomurron ja vahvisti peruuttaneensa kaikki Drift–Salesforce-yhteydet. Salesforce antoi oman lausunnon, jossa se totesi, että tietomurto vaikutti suoraan vain "pieneen määrään asiakkaita". Molemmat yritykset ovat ryhtyneet välittömästi toimiin tapauksen jälkeen:

  • Mitätöidyt aktiiviset käyttöoikeus- ja päivitystunnukset
  • Drift poistettiin AppExchangesta
  • Yhteistyössä hyökkäyksen rajoittamiseksi ja sen vaikutusten arvioimiseksi

Salesloft korosti, että tapaus ei vaikuta organisaatioihin, joilla ei ole Salesforce-integraatioita.

Laajempi uhkakuva

Salesforce-ympäristöistä on tullut yhä tuottoisampia kohteita taloudellisesti motivoituneille ryhmille. Muut klusterit, kuten UNC6040 ja UNC6240 (ShinyHunters), tunnetaan SaaS-ympäristöjen hyödyntämisestä, ja UNC6240 on jopa tehnyt yhteistyötä Scattered Spiderin (UNC3944) kanssa alkuvaiheen käyttöoikeuskampanjoissa.

Tällä hetkellä ei ole näyttöä UNC6395:n yhdistämisestä näihin ryhmiin, mikä tekee siitä uuden ja erillisen uhkaklusterin. Sen kampanjan laajuus, painopiste ja hienostuneisuus sijoittavat sen kuitenkin samaan riskialttiiden vastustajien joukkoon.

Lieventäminen ja seuraavat vaiheet

Salesloft on ottanut yhteyttä kolmannen osapuolen tietoturvatoimittajiin tutkimusten ja korjaustoimien tukemiseksi. Yritys kehottaa järjestelmänvalvojia todentamaan Salesforce-yhteydet uudelleen integraatioiden palauttamiseksi ja ryhtymään lisäturvatoimiin.

Keskeisiä suosituksia ovat:

  • Olemassa olevien API-avainten peruuttaminen ja kierrättäminen
  • Drift-integraatioiden uudelleenkytkentä uusilla avaimilla
  • Lokien tarkistaminen epäilyttävien kyselyiden ja mahdollisten tietovuotojen varalta
  • Syvempien tutkimusten suorittaminen vaikutuksen määrittämiseksi

API-avainten kautta Drift-yhteyksiä hallinnoiville organisaatioille suositellaan vahvasti ennakoivaa avainten kierrätystä. Salesloft on kuitenkin jo ottanut suoraan kantaa OAuth-integraatioihin.

Loppupäätelmä

Tämä kampanja korostaa SaaS-ekosysteemien sisällä tapahtuvien kolmansien osapuolten integraatioiden kasvavia riskejä. Käyttämällä varastettuja OAuth-tokeneja UNC6395 osoitti kykynsä suorittaa kohdennettuja, huomaamattomia ja toimitusketjukeskeisiä operaatioita. Tapahtuma muistuttaa siitä, että pilvipohjaiset alustat ovat tehokkaita, mutta ne ovat edelleen ensisijaisia kohteita uhkatoimijoille, jotka pyrkivät hyödyntämään luottamussuhteita digitaalisessa toimitusketjussa.

Trendaavat

Eniten katsottu

Ladataan...