Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Sebezhetőség Salesloft adatvédelmi incidens

Salesloft adatvédelmi incidens

Mezo -ra Sebezhetőség, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Egy nagyszabású kibertámadás veszélyeztette a Salesloft integrációját a Drift AI chatügynökkel, lehetővé téve a hackerek számára, hogy OAuth és frissítési tokeneket lopjanak. Az UNC6395 azonosítóval azonosított fenyegető szereplő ezeket az ellopott tokeneket kihasználva törte fel a Salesforce ügyfélkörnyezeteit. Biztonsági szakértők több mint 700 szervezetet azonosítottak potenciálisan érintettként.

A jogsértés idővonala

A nyomozások kimutatták, hogy a rosszindulatú tevékenység 2025. augusztus 8. és 18. között zajlott. Ebben az időszakban a támadók a Drifthez kötött feltört OAuth tokeneket használták fel a Salesforce példányokba való bejutáshoz. Miután bejutottak, hatalmas mennyiségű vállalati adatot exportáltak, azzal a céllal, hogy bizalmas hitelesítő adatokat gyűjtsenek, például:

  • Amazon Web Services (AWS) hozzáférési kulcsok
  • Jelszavak
  • Hópelyhekkel kapcsolatos tokenek

Támadási módszerek és kereskedelem

Ami ezt a kampányt kiemeli, az az UNC6395 módszeres pontossága. Nem egyszeri behatolást hajtottak végre, hanem strukturált és ismételt támadásokat indítottak több száz Salesforce-bérlő ellen. Főbb megfigyelések a következők:

Fegyelmezett végrehajtás – A lekérdezéseket szisztematikusan futtatták a hitelesítő adatok azonosítása és kinyerése érdekében.

Műveleti tudatosság – A támadók lekérdezési feladatokat töröltek, hogy elrejtsék tevékenységük nyomait.

Célpont kiválasztása – A behatolással érintett szervezetek közül sok technológiai és biztonsági szolgáltató volt, ami arra utal, hogy ez egy ellátási láncba való behatolási kísérlet lehet.

A szállítók és szolgáltatók kompromittálásával a csoport arra tette fel a voksát, hogy a támadásokat kiterjeszthesse az ügyfél- és partnerökoszisztémákra.

Válasz a Saleslofttól és a Salesforce-tól

A Salesloft 2025. augusztus 20-án kiadott egy közleményt, amelyben elismerte a biztonsági rés történtét, és megerősítette, hogy visszavonta az összes Drift–Salesforce kapcsolatot. A Salesforce saját nyilatkozatot adott ki, megjegyezve, hogy csak „kis számú ügyfelet” érintett közvetlenül. Mindkét vállalat azonnali lépéseket tett az incidens után:

  • Érvénytelenített aktív hozzáférési és frissítési tokenek
  • Eltávolította a Drift alkalmazást az AppExchange-ből
  • Együttműködtek a támadás megfékezésében és a hatás felmérésében

A Salesloft hangsúlyozta, hogy az incidens nem érinti a Salesforce integráció nélküli szervezeteket.

Tágabb fenyegetési környezet

A Salesforce környezetek egyre jövedelmezőbb célpontokká váltak a pénzügyileg motivált csoportok számára. Más klaszterek, mint például az UNC6040 és az UNC6240 (ShinyHunters), a SaaS környezetek kiaknázásáról ismertek, az UNC6240 pedig a Scattered Spiderrel (UNC3944) is együttműködik a kezdeti hozzáférési kampányokban.

Jelenleg nincs bizonyíték arra, hogy az UNC6395-öt ezekkel a csoportokkal kötnék össze, így egy új és különálló fenyegetési klasztert képez. Kampányának mértéke, fókusza és kifinomultsága azonban a magas kockázatú ellenfelek ligájába sorolja.

Mérséklés és a következő lépések

A Salesloft külső biztonsági szolgáltatókat vont be a vizsgálatok és a hibaelhárítási erőfeszítések támogatására. A vállalat arra kéri a rendszergazdákat, hogy hitelesítsék újra a Salesforce-kapcsolatokat az integrációk visszaállítása és további biztonsági óvintézkedések megtétele érdekében.

A legfontosabb ajánlások a következők:

  • Meglévő API-kulcsok visszavonása és rotálása
  • Drift integrációk újracsatlakoztatása új kulcsokkal
  • Naplók áttekintése gyanús lekérdezések és potenciális adatszivárgás szempontjából
  • Mélyebb vizsgálatok elvégzése a hatás meghatározása érdekében

Az API-kulcsokon keresztül Drift-kapcsolatokat kezelő szervezetek számára erősen ajánlott a proaktív kulcsrotáció. Az OAuth integrációkkal azonban a Salesloft már közvetlenül is foglalkozik.

Végső következtetés

Ez a kampány rávilágít a SaaS ökoszisztémákon belüli harmadik féltől származó integrációk növekvő kockázataira. Az ellopott OAuth tokenek visszaélésével az UNC6395 demonstrálta, hogy képes célzott, lopakodó és ellátási lánc-orientált műveleteket végrehajtani. Az esemény emlékeztetőül szolgál arra, hogy a felhőalapú platformok, bár erőteljesek, továbbra is elsődleges célpontjai a digitális ellátási láncban fennálló bizalmi kapcsolatokat kihasználni kívánó fenyegető szereplők számára.

Felkapott

Legnézettebb

Betöltés...