Salesloft डेटा उल्लंघन

एक बड़े पैमाने पर साइबर हमले ने सेल्सलॉफ्ट के ड्रिफ्ट एआई चैट एजेंट के साथ एकीकरण को खतरे में डाल दिया है, जिससे हैकर्स OAuth और रिफ्रेश टोकन चुराने में सक्षम हो गए हैं। UNC6395 नाम से पहचाने गए इस खतरनाक व्यक्ति ने इन चुराए गए टोकन का इस्तेमाल सेल्सफोर्स ग्राहक परिवेश में सेंध लगाने के लिए किया। सुरक्षा विशेषज्ञों ने 700 से ज़्यादा संगठनों की पहचान की है जो संभावित रूप से प्रभावित हैं।

उल्लंघन की समयरेखा

जाँच से पता चलता है कि यह दुर्भावनापूर्ण गतिविधि 8 अगस्त से 18 अगस्त, 2025 तक चली। इस दौरान, हमलावरों ने Salesforce इंस्टेंस में घुसपैठ करने के लिए Drift से जुड़े असुरक्षित OAuth टोकन का इस्तेमाल किया। अंदर घुसने के बाद, उन्होंने भारी मात्रा में कॉर्पोरेट डेटा निर्यात किया, जिसका उद्देश्य संवेदनशील क्रेडेंशियल्स इकट्ठा करना था, जैसे:

• अमेज़न वेब सर्विसेज़ (AWS) एक्सेस कुंजियाँ
• पासवर्डों
• स्नोफ्लेक-संबंधित टोकन

हमले के तरीके और व्यापार कौशल

इस अभियान को UNC6395 की व्यवस्थित सटीकता ने विशिष्ट बनाया है। उन्होंने एक बार की घुसपैठ नहीं की, बल्कि सैकड़ों Salesforce टेनेंट्स पर सुनियोजित और बार-बार हमले किए। प्रमुख अवलोकनों में शामिल हैं:

अनुशासित निष्पादन - क्रेडेंशियल्स की पहचान करने और उन्हें निकालने के लिए व्यवस्थित रूप से क्वेरीज़ चलाई गईं।

परिचालन जागरूकता - हमलावरों ने अपनी गतिविधियों के निशान छिपाने के लिए क्वेरी जॉब्स को हटा दिया।

लक्ष्य चयन - जिन संगठनों पर हमला किया गया उनमें से कई प्रौद्योगिकी और सुरक्षा प्रदाता थे, जिससे पता चलता है कि यह आपूर्ति श्रृंखला में घुसपैठ का प्रयास हो सकता है।

विक्रेताओं और सेवा प्रदाताओं के साथ समझौता करके, समूह ने ग्राहक और साझेदार पारिस्थितिकी तंत्र में हमलों का विस्तार करने की तैयारी कर ली।

सेल्सलॉफ्ट और सेल्सफोर्स की प्रतिक्रिया

सेल्सलॉफ्ट ने 20 अगस्त, 2025 को एक एडवाइजरी जारी की, जिसमें इस उल्लंघन को स्वीकार किया गया और पुष्टि की गई कि उसने ड्रिफ्ट-सेल्सफोर्स के सभी कनेक्शन रद्द कर दिए हैं। इसके बाद सेल्सफोर्स ने भी अपना बयान जारी किया, जिसमें बताया गया कि केवल 'कुछ ही ग्राहक' सीधे तौर पर प्रभावित हुए हैं। इस घटना के बाद दोनों कंपनियों ने तत्काल कदम उठाए हैं:

• अमान्य सक्रिय एक्सेस और रीफ़्रेश टोकन
• ऐपएक्सचेंज से ड्रिफ्ट हटा दिया गया
• हमले को रोकने और प्रभाव का आकलन करने के लिए सहयोग किया

सेल्सलोफ्ट ने इस बात पर जोर दिया कि यह घटना सेल्सफोर्स एकीकरण के बिना संगठनों को प्रभावित नहीं करती है।

व्यापक खतरा परिदृश्य

सेल्सफोर्स परिवेश आर्थिक रूप से प्रेरित समूहों के लिए तेज़ी से आकर्षक लक्ष्य बनते जा रहे हैं। UNC6040 और UNC6240 (ShinyHunters) जैसे अन्य क्लस्टर SaaS परिवेशों का दोहन करने के लिए जाने जाते हैं, और UNC6240 तो आरंभिक पहुँच अभियानों के लिए स्कैटर्ड स्पाइडर (UNC3944) के साथ साझेदारी भी करता है।

फिलहाल, UNC6395 का इन समूहों से कोई संबंध होने का कोई सबूत नहीं है, जो इसे एक नया और विशिष्ट ख़तरा समूह बनाता है। हालाँकि, इसके अभियान का पैमाना, फोकस और परिष्कार इसे उच्च जोखिम वाले विरोधियों की श्रेणी में रखता है।

शमन और अगले कदम

सेल्सलॉफ्ट ने जाँच और सुधार प्रयासों में सहयोग के लिए तृतीय-पक्ष सुरक्षा विक्रेताओं को नियुक्त किया है। कंपनी प्रशासकों से आग्रह कर रही है कि वे एकीकरण बहाल करने और अतिरिक्त सुरक्षा सावधानियाँ बरतने के लिए सेल्सफोर्स कनेक्शनों को पुनः प्रमाणित करें।

प्रमुख सिफारिशों में शामिल हैं:

• मौजूदा API कुंजियों को रद्द करना और घुमाना
• नई कुंजियों के साथ ड्रिफ्ट एकीकरण को पुनः जोड़ना
• संदिग्ध प्रश्नों और संभावित डेटा एक्सपोज़र के लिए लॉग की समीक्षा करना
• प्रभाव का निर्धारण करने के लिए गहन जांच करना

API कुंजियों के माध्यम से ड्रिफ्ट कनेक्शन प्रबंधित करने वाले संगठनों के लिए, सक्रिय कुंजी रोटेशन की पुरज़ोर सलाह दी जाती है। हालाँकि, OAuth एकीकरणों को Salesloft द्वारा पहले से ही सीधे संबोधित किया जा रहा है।

अंतिम निष्कर्ष

यह अभियान SaaS पारिस्थितिकी प्रणालियों में तृतीय-पक्ष एकीकरण के बढ़ते जोखिमों को उजागर करता है। चुराए गए OAuth टोकन का दुरुपयोग करके, UNC6395 ने लक्षित, गुप्त और आपूर्ति श्रृंखला-उन्मुख संचालन करने की क्षमता का प्रदर्शन किया। यह कार्यक्रम एक अनुस्मारक के रूप में कार्य करता है कि क्लाउड-आधारित प्लेटफ़ॉर्म, शक्तिशाली होते हुए भी, डिजिटल आपूर्ति श्रृंखला में विश्वास संबंधों का लाभ उठाने की कोशिश करने वाले ख़तरनाक तत्वों के लिए प्रमुख लक्ष्य बने हुए हैं।