הצעת הנחה מרובה רישיונות
מסד נתונים של איומים פְּגִיעוּת פרצת נתונים של Salesloft

פרצת נתונים של Salesloft

עד Mezo ב-פְּגִיעוּת, איום מתמשך מתקדם (APT)
לתרגם ל:

מתקפת סייבר בקנה מידה גדול פגעה באינטגרציה של Salesloft עם סוכן הצ'אט Drift AI, מה שאפשר להאקרים לגנוב OAuth ולרענן טוקנים. גורם האיום, שסומן כ-UNC6395, ניצל את הטוקנים הגנובים הללו כדי לפרוץ לסביבות לקוחות של Salesforce. מומחי אבטחה זיהו למעלה מ-700 ארגונים שנפגעו באופן פוטנציאלי.

ציר זמן של ההפרה

חקירות מגלות כי הפעילות הזדונית נמשכה בין ה-8 באוגוסט ל-18 באוגוסט 2025. במהלך תקופה זו, התוקפים ניצלו טוקנים של OAuth שנפגעו וקשורים ל-Drift כדי לחדור למערכות Salesforce. לאחר שנכנסו פנימה, הם ייצו כמויות אדירות של נתונים ארגוניים, במטרה לאסוף אישורים רגישים כגון:

  • מפתחות גישה של שירותי האינטרנט של אמזון (AWS)
  • סיסמאות
  • אסימונים הקשורים לפתית שלג

שיטות התקפה ועבודות מסחריות

מה שמייחד את הקמפיין הזה הוא הדיוק השיטתי של UNC6395. הם לא ביצעו חדירה חד פעמית, אלא השיקו התקפות מובנות וחוזרות על מאות דיירים של Salesforce. בין התצפיות העיקריות:

ביצוע ממושמע – שאילתות בוצעו באופן שיטתי לזיהוי וחילוץ אישורים.

מודעות תפעולית – התוקפים מחקו משימות שאילתה כדי להסתיר עקבות של פעילותם.

בחירת מטרה – רבים מהארגונים שנפרצו היו ספקי טכנולוגיה ואבטחה, דבר המצביע על כך שמדובר בניסיון חדירה לשרשרת האספקה.

על ידי פגיעה בספקים ובספקי שירותים, הקבוצה מיצבה את עצמה ככזו שיכולה להרחיב את ההתקפות במורד הזרם אל תוך מערכות אקולוגיות של לקוחות ושותפים.

תגובה מ-Salesloft ו-Salesforce

Salesloft פרסמה הודעת ייעוץ ב-20 באוגוסט 2025, בה הכירה בפריצה ואישר כי ביטלה את כל החיבורים בין Drift ל-Salesforce. Salesforce פרסמה הצהרה משלה, וציינה כי רק "מספר קטן של לקוחות" הושפע ישירות. שתי החברות נקטו בצעדים מיידיים בעקבות התקרית:

  • אסימוני גישה ורענון פעילים לא חוקיים
  • הסרה של Drift מ-AppExchange
  • שיתפו פעולה כדי לבלום את ההתקפה ולהעריך את ההשפעה

Salesloft הדגישה כי התקרית אינה משפיעה על ארגונים ללא אינטגרציות עם Salesforce.

נוף איומים רחב יותר

סביבות Salesforce הפכו יותר ויותר ליעדים רווחיים עבור קבוצות בעלות מוטיבציה כלכלית. אשכולות אחרים, כמו UNC6040 ו-UNC6240 (ShinyHunters), ידועים בניצול סביבות SaaS, כאשר UNC6240 אף משתפת פעולה עם Scattered Spider (UNC3944) עבור קמפיינים ראשוניים של גישה.

נכון לעכשיו, אין ראיות המקשרות את UNC6395 לקבוצות אלו, מה שהופך אותו לאשכול איום חדש ומובחן. עם זאת, היקף, המיקוד והתחכום של הקמפיין שלו מציבים אותו באותה ליגה של יריבים בסיכון גבוה.

הפחתה וצעדים נוספים

Salesloft שכרה ספקי אבטחה חיצוניים כדי לתמוך בחקירות ובמאמצי תיקון. החברה קוראת למנהלי המערכת לאמת מחדש את חיבורי Salesforce כדי לשחזר אינטגרציות ולנקוט באמצעי אבטחה נוספים.

ההמלצות המרכזיות כוללות:

  • ביטול וסיבוב של מפתחות API קיימים
  • חיבור מחדש של אינטגרציות Drift עם מפתחות חדשים
  • סקירת יומני רישום לאיתור שאילתות חשודות וחשיפת נתונים אפשרית
  • ביצוע חקירות מעמיקות יותר כדי לקבוע את ההשפעה

עבור ארגונים המנהלים חיבורי Drift דרך מפתחות API, מומלץ מאוד לבצע סיבוב מפתחות יזום. עם זאת, Salesloft כבר מטפלת ישירות באינטגרציות OAuth.

מסקנה סופית

קמפיין זה מדגיש את הסיכונים הגוברים של שילובים עם צד שלישי בתוך מערכות אקולוגיות של SaaS. על ידי ניצול לרעה של טוקנים גנובים של OAuth, UNC6395 הדגים את היכולת לבצע פעולות ממוקדות, חשאיות ומכוונות שרשרת אספקה. האירוע משמש כתזכורת לכך שפלטפורמות מבוססות ענן, למרות היותן חזקות, נותרות מטרות עיקריות עבור גורמי איום המבקשים לנצל יחסי אמון ברחבי שרשרת האספקה הדיגיטלית.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
35,927
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...