Salesloft datu pārkāpums
Plaša mēroga kiberuzbrukums ir apdraudējis Salesloft integrāciju ar Drift AI tērzēšanas aģentu, ļaujot hakeriem nozagt OAuth un atsvaidzināšanas žetonus. Apdraudējuma izpildītājs, kas izsekots kā UNC6395, izmantoja šos nozagtos žetonus, lai uzlauztu Salesforce klientu vides. Drošības eksperti ir identificējuši vairāk nekā 700 organizācijas kā potenciāli skartas.
Satura rādītājs
Pārkāpuma laika skala
Izmeklēšana atklāj, ka ļaunprātīgā darbība ilga no 2025. gada 8. līdz 18. augustam. Šajā periodā uzbrucēji izmantoja kompromitētas OAuth žetonus, kas saistīti ar Drift, lai iefiltrētos Salesforce instancēs. Iekļūšanas gadījumā viņi eksportēja milzīgu apjomu korporatīvo datu, cenšoties ievākt sensitīvus akreditācijas datus, piemēram:
- Amazon Web Services (AWS) piekļuves atslēgas
- Paroles
- Ar sniegpārslām saistīti žetoni
Uzbrukuma metodes un tirdzniecības prasmes
Šo kampaņu izceļ UNC6395 metodiskā precizitāte. Viņi neveica vienreizēju ielaušanos, bet gan uzsāka strukturētus un atkārtotus uzbrukumus simtiem Salesforce nomnieku. Galvenie novērojumi ietver:
Disciplinēta izpilde — sistemātiski tika izpildīti vaicājumi, lai identificētu un iegūtu akreditācijas datus.
Operatīvā izpratne — uzbrucēji dzēsa vaicājumu uzdevumus, lai slēptu savu darbību pēdas.
Mērķa izvēle — daudzas no pārkāptajām organizācijām bija tehnoloģiju un drošības pakalpojumu sniedzēji, kas liecina, ka tas varētu būt piegādes ķēdes iefiltrēšanās mēģinājums.
Apdraudot pārdevējus un pakalpojumu sniedzējus, grupa pozicionēja sevi, lai paplašinātu uzbrukumus klientu un partneru ekosistēmās.
Atbilde no Salesloft un Salesforce
Salesloft 2025. gada 20. augustā izdeva paziņojumu, atzīstot pārkāpumu un apstiprinot, ka ir atcēlis visus Drift un Salesforce savienojumus. Salesforce sekoja ar savu paziņojumu, norādot, ka tieši ietekmēts ir tikai "neliels skaits klientu". Abi uzņēmumi pēc incidenta ir nekavējoties veikuši pasākumus:
- Nederīgas aktīvās piekļuves un atsvaidzināšanas pilnvaras
- Noņemts Drift no AppExchange
- Sadarbojās, lai ierobežotu uzbrukumu un novērtētu tā ietekmi
Salesloft uzsvēra, ka incidents neietekmē organizācijas bez Salesforce integrācijām.
Plašāka apdraudējumu ainava
Salesforce vides arvien vairāk kļūst par ienesīgiem mērķiem finansiāli motivētām grupām. Citi klasteri, piemēram, UNC6040 un UNC6240 (ShinyHunters), ir pazīstami ar SaaS vides izmantošanu, UNC6240 pat sadarbojoties ar Scattered Spider (UNC3944) sākotnējās piekļuves kampaņām.
Pašlaik nav pierādījumu, kas saistītu UNC6395 ar šīm grupām, padarot to par jaunu un atšķirīgu apdraudējumu klasteri. Tomēr tās kampaņas mērogs, fokuss un sarežģītība to novieto tajā pašā augsta riska pretinieku līgā.
Mazināšana un nākamie soļi
Salesloft ir piesaistījis trešo pušu drošības pakalpojumu sniedzējus, lai atbalstītu izmeklēšanu un koriģējošos pasākumus. Uzņēmums mudina administratorus atkārtoti autentificēt Salesforce savienojumus, lai atjaunotu integrācijas un veiktu papildu drošības pasākumus.
Galvenie ieteikumi ietver:
- Esošo API atslēgu atsaukšana un rotācija
- Drift integrāciju atkārtota savienošana ar jaunām atslēgām
- Žurnālu pārskatīšana, lai atklātu aizdomīgus vaicājumus un iespējamu datu noplūdi
- Veicot padziļinātu izpēti, lai noteiktu ietekmi
Organizācijām, kas pārvalda Drift savienojumus, izmantojot API atslēgas, stingri ieteicams veikt proaktīvu atslēgu rotāciju. Tomēr Salesloft jau tieši risina OAuth integrācijas.
Noslēguma secinājums
Šī kampaņa izceļ pieaugošos riskus, kas saistīti ar trešo pušu integrācijām SaaS ekosistēmās. Ļaunprātīgi izmantojot nozagtas OAuth žetonus, UNC6395 demonstrēja spēju veikt mērķtiecīgas, slepenas un uz piegādes ķēdi orientētas operācijas. Šis pasākums kalpo kā atgādinājums, ka mākoņdatošanas platformas, lai arī jaudīgas, joprojām ir galvenie mērķi apdraudējumu dalībniekiem, kas cenšas izmantot uzticības attiecības visā digitālajā piegādes ķēdē.
