Ponuda s popustom na više licenci
Baza prijetnji Ranjivost Kršenje podataka u Salesloftu

Kršenje podataka u Salesloftu

Do Mezo. Ranjivost, Napredna trajna prijetnja (APT). godine
Prevedi na:

Veliki kibernetički napad ugrozio je integraciju Saleslofta s Drift AI chat agentom, omogućujući hakerima krađu OAuth i tokena za osvježavanje. Napadač, praćen kao UNC6395, iskoristio je te ukradene tokene za probijanje u korisnička okruženja Salesforcea. Sigurnosni stručnjaci identificirali su preko 700 organizacija kao potencijalno pogođene.

Vremenska crta kršenja

Istrage otkrivaju da se zlonamjerna aktivnost odvijala od 8. do 18. kolovoza 2025. Tijekom tog razdoblja, napadači su iskoristili kompromitirane OAuth tokene povezane s Driftom kako bi se infiltrirali u Salesforce instance. Jednom unutra, izvezli su ogromne količine korporativnih podataka s ciljem prikupljanja osjetljivih vjerodajnica kao što su:

  • Pristupni ključevi za Amazon Web Services (AWS)
  • Lozinke
  • Tokeni povezani sa pahuljicama

Metode napada i zanatske vještine

Ono što ovu kampanju izdvaja je metodična preciznost UNC6395. Nisu proveli jednokratni upad, već su umjesto toga pokrenuli strukturirane i ponovljene napade na stotine zakupaca Salesforcea. Ključna zapažanja uključuju:

Disciplinirano izvršenje – Upiti su sustavno pokretani radi identifikacije i izdvajanja vjerodajnica.

Operativna svijest – Napadači su izbrisali zadatke upita kako bi prikrili tragove svojih aktivnosti.

Odabir cilja – Mnoge od organizacija u koje je došlo do napada bile su pružatelji tehnologije i sigurnosti, što sugerira da bi ovo mogao biti pokušaj infiltracije u lanac opskrbe.

Kompromitiranjem dobavljača i pružatelja usluga, grupa se pozicionirala za širenje napada nizvodno u ekosustave kupaca i partnera.

Odgovor Saleslofta i Salesforcea

Salesloft je 20. kolovoza 2025. izdao upozorenje, priznajući kršenje sigurnosti i potvrđujući da je opozvao sve veze Drift-Salesforce. Salesforce je potom dao vlastitu izjavu, napominjući da je izravno pogođen samo 'mali broj kupaca'. Obje tvrtke su poduzele hitne korake nakon incidenta:

  • Poništeni aktivni tokeni za pristup i osvježavanje
  • Uklonjen Drift s AppExchangea
  • Surađivali su kako bi obuzdali napad i procijenili utjecaj

Salesloft je naglasio da incident ne utječe na organizacije bez Salesforce integracija.

Širi krajolik prijetnji

Salesforce okruženja sve više postaju unosne mete za financijski motivirane grupe. Drugi klasteri, poput UNC6040 i UNC6240 (ShinyHunters), poznati su po iskorištavanju SaaS okruženja, a UNC6240 čak surađuje sa Scattered Spiderom (UNC3944) za početne pristupne kampanje.

Trenutno ne postoje dokazi koji povezuju UNC6395 s tim skupinama, što ga čini novim i zasebnim skupom prijetnji. Međutim, opseg, fokus i sofisticiranost njegove kampanje svrstavaju ga u istu ligu visokorizičnih protivnika.

Ublažavanje i sljedeći koraci

Salesloft je angažirao vanjske dobavljače sigurnosnih rješenja za podršku istragama i naporima za sanaciju. Tvrtka potiče administratore da ponovno autentificiraju Salesforce veze kako bi se obnovile integracije i poduzele dodatne sigurnosne mjere opreza.

Ključne preporuke uključuju:

  • Opoziv i rotacija postojećih API ključeva
  • Ponovno povezivanje Drift integracija s novim ključevima
  • Pregled zapisnika za sumnjive upite i potencijalno izlaganje podataka
  • Provođenje dubljih istraživanja kako bi se utvrdio utjecaj

Za organizacije koje upravljaju Drift vezama putem API ključeva, toplo se preporučuje proaktivna rotacija ključeva. Međutim, Salesloft već izravno rješava OAuth integracije.

Završni zaključak

Ova kampanja naglašava rastuće rizike integracija trećih strana unutar SaaS ekosustava. Zloupotrebom ukradenih OAuth tokena, UNC6395 je pokazao sposobnost provođenja ciljanih, prikrivenih i operacija usmjerenih na lanac opskrbe. Događaj služi kao podsjetnik da platforme temeljene na oblaku, iako moćne, ostaju glavne mete za aktere prijetnji koji žele iskoristiti odnose povjerenja u digitalnom lancu opskrbe.

U trendu

Nagledanije

Učitavam...