ការបំពានទិន្នន័យ Salesloft

ការវាយប្រហារតាមអ៊ីនធឺណិតទ្រង់ទ្រាយធំបានសម្របសម្រួលការរួមបញ្ចូលរបស់ Salesloft ជាមួយភ្នាក់ងារជជែក Drift AI ដែលអាចឱ្យពួក Hacker លួច OAuth និងធ្វើឱ្យថូខឹនស្រស់។ តួអង្គគំរាមកំហែងដែលត្រូវបានតាមដានថាជា UNC6395 បានកេងប្រវ័ញ្ចថូខឹនដែលត្រូវបានលួចទាំងនេះដើម្បីបំពានបរិយាកាសអតិថិជនរបស់ Salesforce ។ អ្នកជំនាញសន្តិសុខបានកំណត់អត្តសញ្ញាណអង្គការជាង 700 ថាអាចរងផលប៉ះពាល់។

បន្ទាត់ពេលវេលានៃការបំពាន

ការស៊ើបអង្កេតបង្ហាញថា សកម្មភាពព្យាបាទបានអូសបន្លាយពីថ្ងៃទី 8 ខែសីហា ដល់ថ្ងៃទី 18 ខែសីហា ឆ្នាំ 2025។ ក្នុងអំឡុងពេលនេះ អ្នកវាយប្រហារបានប្រើប្រាស់និមិត្តសញ្ញា OAuth ដែលត្រូវបានសម្របសម្រួលដែលចងភ្ជាប់ទៅនឹង Drift ដើម្បីជ្រៀតចូលទៅក្នុងឧទាហរណ៍ Salesforce ។ នៅពេលដែលនៅខាងក្នុង ពួកគេបាននាំចេញទិន្នន័យសាជីវកម្មដ៏ច្រើនសន្ធឹកសន្ធាប់ ក្នុងគោលបំណងប្រមូលព័ត៌មានសម្ងាត់សំខាន់ៗដូចជា៖

• សោចូលប្រើ Amazon Web Services (AWS)
• ពាក្យសម្ងាត់
• និមិត្តសញ្ញាទាក់ទងនឹងផ្កាព្រិល

វិធីសាស្រ្តវាយប្រហារ និងពាណិជ្ជកម្ម

អ្វីដែលធ្វើឱ្យយុទ្ធនាការនេះលេចធ្លោគឺភាពជាក់លាក់នៃវិធីសាស្រ្តនៃ UNC6395 ។ ពួកគេមិនបានធ្វើការឈ្លានពានតែម្តងទេ ប៉ុន្តែផ្ទុយទៅវិញបានចាប់ផ្តើមការវាយប្រហារដែលមានរចនាសម្ព័ន្ធ និងម្តងហើយម្តងទៀតនៅទូទាំងអ្នកជួល Salesforce រាប់រយនាក់។ ការសង្កេតសំខាន់ៗរួមមាន:

ការអនុវត្តប្រកបដោយវិន័យ - សំណួរត្រូវបានដំណើរការជាប្រព័ន្ធដើម្បីកំណត់អត្តសញ្ញាណ និងស្រង់ចេញនូវព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ។

ការយល់ដឹងអំពីប្រតិបត្តិការ - អ្នកវាយប្រហារបានលុបការងារសំណួរដើម្បីលាក់ដាននៃសកម្មភាពរបស់ពួកគេ។

ការជ្រើសរើសគោលដៅ - អង្គការជាច្រើនដែលបំពានគឺជាអ្នកផ្តល់បច្ចេកវិទ្យា និងសុវត្ថិភាព ដែលបង្ហាញថានេះអាចជាការប៉ុនប៉ងជ្រៀតចូលខ្សែសង្វាក់ផ្គត់ផ្គង់។

តាមរយៈការសម្របសម្រួលអ្នកលក់ និងអ្នកផ្តល់សេវាកម្ម ក្រុមនេះបានដាក់ទីតាំងខ្លួនដើម្បីពង្រីកការវាយប្រហារចុះក្រោមទៅក្នុងប្រព័ន្ធអេកូរបស់អតិថិជន និងដៃគូ។

ការឆ្លើយតបពី Salesloft និង Salesforce

Salesloft បានចេញសេចក្តីណែនាំមួយនៅថ្ងៃទី 20 ខែសីហា ឆ្នាំ 2025 ដោយទទួលស្គាល់ការបំពាននេះ ហើយបញ្ជាក់ថា ខ្លួនបានលុបចោលការតភ្ជាប់ Drift-Salesforce ទាំងអស់។ Salesforce បានអនុវត្តតាមសេចក្តីថ្លែងការណ៍របស់ខ្លួនដោយកត់សម្គាល់ថាមានតែ 'អតិថិជនមួយចំនួនតូច' ប៉ុណ្ណោះដែលត្រូវបានប៉ះពាល់ដោយផ្ទាល់។ ក្រុមហ៊ុនទាំងពីរបានចាត់វិធានការភ្លាមៗបន្ទាប់ពីកើតហេតុ៖

• សិទ្ធិចូលដំណើរការសកម្ម និងធ្វើឱ្យថូខឹនស្រស់ឡើងវិញ
• បានយក Drift ចេញពី AppExchange
• សហការដើម្បីទប់ស្កាត់ការវាយប្រហារ និងវាយតម្លៃផលប៉ះពាល់

Salesloft បានសង្កត់ធ្ងន់ថាឧប្បត្តិហេតុមិនប៉ះពាល់ដល់អង្គការដោយគ្មានការរួមបញ្ចូល Salesforce ទេ។

ទេសភាពគំរាមកំហែងកាន់តែទូលំទូលាយ

បរិយាកាស Salesforce កាន់តែក្លាយជាគោលដៅរកប្រាក់ចំណេញសម្រាប់ក្រុមដែលជំរុញផ្នែកហិរញ្ញវត្ថុ។ ចង្កោមផ្សេងទៀតដូចជា UNC6040 និង UNC6240 (ShinyHunters) ត្រូវបានគេស្គាល់ថាសម្រាប់ការកេងប្រវ័ញ្ចបរិស្ថាន SaaS ជាមួយនឹង UNC6240 ថែមទាំងជាដៃគូជាមួយ Scattered Spider (UNC3944) សម្រាប់យុទ្ធនាការចូលប្រើដំបូង។

នាពេលបច្ចុប្បន្ននេះ មិនមានភស្តុតាងណាមួយដែលភ្ជាប់ UNC6395 ទៅនឹងក្រុមទាំងនេះទេ ដែលធ្វើឱ្យវាក្លាយជាចង្កោមការគំរាមកំហែងថ្មី និងប្លែកពីគេ។ ទោះបីជាយ៉ាងណាក៏ដោយ ទំហំ ការផ្តោតអារម្មណ៍ និងភាពទំនើបនៃយុទ្ធនាការរបស់វា ដាក់វានៅក្នុងលីកដូចគ្នានៃសត្រូវដែលមានហានិភ័យខ្ពស់។

ការបន្ធូរបន្ថយ និងជំហានបន្ទាប់

Salesloft បានចូលរួមជាមួយអ្នកលក់សន្តិសុខភាគីទីបី ដើម្បីគាំទ្រដល់ការស៊ើបអង្កេត និងកិច្ចខិតខំប្រឹងប្រែងដោះស្រាយ។ ក្រុមហ៊ុនកំពុងជំរុញឱ្យអ្នកគ្រប់គ្រងធ្វើការផ្ទៀងផ្ទាត់ការតភ្ជាប់ Salesforce ឡើងវិញ ដើម្បីស្ដារការរួមបញ្ចូល និងចាត់វិធានការការពារសុវត្ថិភាពបន្ថែម។

អនុសាសន៍សំខាន់ៗរួមមាន:

• ការលុបចោល និងការបង្វិលសោ API ដែលមានស្រាប់
• ការភ្ជាប់ការរួមបញ្ចូល Drift ឡើងវិញជាមួយនឹងសោថ្មី។
• កំពុងពិនិត្យមើលកំណត់ហេតុសម្រាប់សំណួរគួរឱ្យសង្ស័យ និងការបង្ហាញពីសក្តានុពលនៃទិន្នន័យ
• ធ្វើការស៊ើបអង្កេតកាន់តែស៊ីជម្រៅដើម្បីកំណត់ពីផលប៉ះពាល់

សម្រាប់ស្ថាប័នដែលគ្រប់គ្រងការភ្ជាប់ Drift តាមរយៈសោ API ការបង្វិលសោសកម្មត្រូវបានណែនាំយ៉ាងខ្លាំង។ ទោះជាយ៉ាងណាក៏ដោយ ការរួមបញ្ចូល OAuth កំពុងត្រូវបានដោះស្រាយដោយផ្ទាល់ដោយ Salesloft រួចហើយ។

ចុងក្រោយ Takeaway

យុទ្ធនាការនេះបង្ហាញពីហានិភ័យកើនឡើងនៃការរួមបញ្ចូលភាគីទីបីនៅក្នុងប្រព័ន្ធអេកូ SaaS ។ តាមរយៈការរំលោភលើសញ្ញាសម្ងាត់ OAuth ដែលត្រូវបានលួច UNC6395 បានបង្ហាញពីសមត្ថភាពក្នុងការអនុវត្តប្រតិបត្តិការដែលតម្រង់ទិសដៅ លួចលាក់ និងខ្សែសង្វាក់ផ្គត់ផ្គង់។ ព្រឹត្តិការណ៍នេះបម្រើជាការរំលឹកថាវេទិកាដែលមានមូលដ្ឋានលើពពក ខណៈពេលដែលមានថាមពលនៅតែជាគោលដៅចម្បងសម្រាប់តួអង្គគំរាមកំហែងដែលស្វែងរកការទាញយកទំនាក់ទំនងការជឿទុកចិត្តលើខ្សែសង្វាក់ផ្គត់ផ្គង់ឌីជីថល។