Preventivo sconto multi-licenza
Database delle minacce Vulnerabilità Violazione dei dati di Salesloft

Violazione dei dati di Salesloft

Entro Mezo nel Vulnerabilità, Minaccia persistente avanzata (APT)
Traduci in:

Un attacco informatico su larga scala ha compromesso l'integrazione di Salesloft con l'agente di chat Drift AI, consentendo agli hacker di rubare token OAuth e di aggiornamento. L'autore della minaccia, identificato come UNC6395, ha sfruttato questi token rubati per violare gli ambienti dei clienti Salesforce. Gli esperti di sicurezza hanno identificato oltre 700 organizzazioni come potenzialmente interessate.

Cronologia della violazione

Le indagini rivelano che l'attività dannosa si è protratta dall'8 al 18 agosto 2025. Durante questo periodo, gli aggressori hanno sfruttato token OAuth compromessi, collegati a Drift, per infiltrarsi nelle istanze di Salesforce. Una volta all'interno, hanno esportato enormi quantità di dati aziendali, con l'obiettivo di raccogliere credenziali sensibili come:

  • Chiavi di accesso di Amazon Web Services (AWS)
  • Password
  • Gettoni correlati ai fiocchi di neve

Metodi di attacco e tecniche commerciali

Ciò che distingue questa campagna è la precisione metodica di UNC6395. Non hanno condotto un'intrusione una tantum, ma hanno lanciato attacchi strutturati e ripetuti su centinaia di tenant Salesforce. Le osservazioni principali includono:

Esecuzione disciplinata : le query sono state eseguite sistematicamente per identificare ed estrarre le credenziali.

Consapevolezza operativa : gli aggressori hanno eliminato i processi di query per nascondere le tracce delle loro attività.

Selezione del bersaglio : molte delle organizzazioni violate erano fornitori di tecnologia e sicurezza, il che suggerisce che potrebbe trattarsi di un tentativo di infiltrazione nella catena di fornitura.

Compromettendo i fornitori e i fornitori di servizi, il gruppo si è posizionato in modo da estendere gli attacchi a valle, negli ecosistemi dei clienti e dei partner.

Risposta di Salesloft e Salesforce

Salesloft ha emesso un avviso il 20 agosto 2025, riconoscendo la violazione e confermando di aver revocato tutte le connessioni Drift-Salesforce. Salesforce ha poi rilasciato una propria dichiarazione, sottolineando che solo un "numero limitato di clienti" era stato direttamente interessato. Entrambe le aziende hanno adottato misure immediate in seguito all'incidente:

  • Token di accesso e aggiornamento attivi non validi
  • Rimosso Drift da AppExchange
  • Collaborato per contenere l'attacco e valutarne l'impatto

Salesloft ha sottolineato che l'incidente non riguarda le organizzazioni prive di integrazioni Salesforce.

Panorama delle minacce più ampio

Gli ambienti Salesforce sono diventati obiettivi sempre più redditizi per gruppi motivati finanziariamente. Altri cluster, come UNC6040 e UNC6240 (ShinyHunters), sono noti per lo sfruttamento degli ambienti SaaS; UNC6240 collabora persino con Scattered Spider (UNC3944) per le campagne di accesso iniziale.

Al momento, non ci sono prove che colleghino UNC6395 a questi gruppi, il che lo rende un cluster di minacce nuovo e distinto. Tuttavia, la portata, la focalizzazione e la sofisticatezza della sua campagna lo collocano nella stessa categoria degli avversari ad alto rischio.

Mitigazione e prossimi passi

Salesloft ha coinvolto fornitori di sicurezza terzi per supportare le indagini e le attività di ripristino. L'azienda esorta gli amministratori a riautenticare le connessioni Salesforce per ripristinare le integrazioni e adottare ulteriori misure di sicurezza.

Le raccomandazioni principali includono:

  • Revoca e rotazione delle chiavi API esistenti
  • Riconnessione delle integrazioni Drift con nuove chiavi
  • Revisione dei registri per query sospette e potenziale esposizione dei dati
  • Eseguire indagini più approfondite per determinare l'impatto

Per le organizzazioni che gestiscono connessioni Drift tramite chiavi API, si consiglia vivamente la rotazione proattiva delle chiavi. Le integrazioni OAuth, tuttavia, sono già gestite direttamente da Salesloft.

Conclusione finale

Questa campagna evidenzia i crescenti rischi delle integrazioni di terze parti all'interno degli ecosistemi SaaS. Abusando di token OAuth rubati, UNC6395 ha dimostrato la capacità di eseguire operazioni mirate, furtive e orientate alla supply chain. L'evento serve a ricordare che le piattaforme basate su cloud, pur essendo potenti, rimangono obiettivi primari per gli autori di minacce che cercano di sfruttare i rapporti di fiducia lungo la supply chain digitale.

Tendenza

I più visti

Caricamento in corso...