Salesloft डेटा उल्लंघन

ठूलो मात्रामा भएको साइबर आक्रमणले सेल्सलफ्टको ड्रिफ्ट एआई च्याट एजेन्टसँगको एकीकरणलाई सम्झौता गरेको छ, जसले गर्दा ह्याकरहरूले OAuth चोर्न र टोकनहरू रिफ्रेस गर्न सक्षम भएका छन्। UNC6395 को रूपमा ट्र्याक गरिएको धम्की दिने व्यक्तिले सेल्सफोर्स ग्राहक वातावरण उल्लङ्घन गर्न यी चोरी भएका टोकनहरूको शोषण गर्‍यो। सुरक्षा विज्ञहरूले ७०० भन्दा बढी संस्थाहरूलाई सम्भावित रूपमा प्रभावितको रूपमा पहिचान गरेका छन्।

उल्लंघनको समयरेखा

अनुसन्धानले देखाएको छ कि दुर्भावनापूर्ण गतिविधि अगस्ट ८ देखि अगस्ट १८, २०२५ सम्म फैलिएको थियो। यस अवधिमा, आक्रमणकारीहरूले सेल्सफोर्स उदाहरणहरू घुसपैठ गर्न ड्रिफ्टसँग जोडिएको सम्झौता गरिएको OAuth टोकनहरूको लाभ उठाए। भित्र पसेपछि, तिनीहरूले ठूलो मात्रामा कर्पोरेट डेटा निर्यात गरे, जसको उद्देश्य संवेदनशील प्रमाणहरू सङ्कलन गर्नु थियो जस्तै:

• अमेजन वेब सेवाहरू (AWS) पहुँच कुञ्जीहरू
• पासवर्डहरू
• स्नोफ्लेक-सम्बन्धित टोकनहरू

आक्रमण विधि र व्यापारिक शिल्प

यस अभियानलाई UNC6395 को विधिगत शुद्धताले अलग बनाउँछ। तिनीहरूले एक पटकको घुसपैठ गरेनन् तर सयौं सेल्सफोर्स भाडामा लिनेहरूमा संरचित र बारम्बार आक्रमणहरू सुरु गरे। मुख्य अवलोकनहरूमा समावेश छन्:

अनुशासित कार्यान्वयन - प्रमाणहरू पहिचान गर्न र निकाल्न प्रश्नहरू व्यवस्थित रूपमा सञ्चालन गरिएको थियो।

सञ्चालन जागरूकता - आक्रमणकारीहरूले आफ्ना गतिविधिहरूको निशान लुकाउन क्वेरी कार्यहरू मेटाए।

लक्ष्य छनोट - उल्लंघन गरिएका धेरै संस्थाहरू प्रविधि र सुरक्षा प्रदायक थिए, जसले यो आपूर्ति श्रृंखला घुसपैठ प्रयास हुन सक्छ भन्ने सुझाव दिन्छ।

विक्रेता र सेवा प्रदायकहरूसँग सम्झौता गरेर, समूहले ग्राहक र साझेदार पारिस्थितिक प्रणालीहरूमा आक्रमणहरू विस्तार गर्न आफूलाई स्थितिमा राख्यो।

सेल्सलफ्ट र सेल्सफोर्सबाट प्रतिक्रिया

सेल्सलफ्टले अगस्ट २०, २०२५ मा एक सल्लाहकार जारी गर्‍यो, उल्लंघनलाई स्वीकार गर्दै र सबै ड्रिफ्ट-सेल्सफोर्स जडानहरू रद्द गरेको पुष्टि गर्दै। सेल्सफोर्सले आफ्नै बयान जारी गर्‍यो, जसमा 'थोरै संख्यामा ग्राहकहरू' मात्र प्रत्यक्ष रूपमा प्रभावित भएको उल्लेख गरिएको थियो। घटनापछि दुवै कम्पनीहरूले तत्काल कदम चालेका छन्:

• सक्रिय पहुँच र रिफ्रेस टोकनहरू अमान्य गरियो
• एपएक्सचेन्जबाट ड्रिफ्ट हटाइयो
• आक्रमणलाई नियन्त्रण गर्न र प्रभावको मूल्याङ्कन गर्न सहकार्य गरियो

सेल्सलोफ्टले जोड दियो कि सेल्सफोर्स एकीकरण बिनाको संस्थाहरूलाई यो घटनाले असर गर्दैन।

फराकिलो खतरा परिदृश्य

सेल्सफोर्स वातावरणहरू आर्थिक रूपमा प्रेरित समूहहरूको लागि बढ्दो रूपमा आकर्षक लक्ष्य बनेका छन्। अन्य क्लस्टरहरू, जस्तै UNC6040 र UNC6240 (ShinyHunters), SaaS वातावरणको शोषण गर्नका लागि परिचित छन्, UNC6240 ले प्रारम्भिक पहुँच अभियानहरूको लागि Scattered Spider (UNC3944) सँग साझेदारी पनि गरेको छ।

हाल, UNC6395 लाई यी समूहहरूसँग जोड्ने कुनै प्रमाण छैन, जसले गर्दा यो एक नयाँ र विशिष्ट खतरा समूह बनेको छ। यद्यपि, यसको अभियानको स्केल, फोकस र परिष्कारले यसलाई उच्च जोखिमपूर्ण विरोधीहरूको समान श्रेणीमा राख्छ।

न्यूनीकरण र अर्को चरणहरू

सेल्सलफ्टले अनुसन्धान र उपचार प्रयासहरूलाई समर्थन गर्न तेस्रो-पक्ष सुरक्षा विक्रेताहरूलाई संलग्न गरेको छ। कम्पनीले प्रशासकहरूलाई एकीकरण पुनर्स्थापित गर्न सेल्सफोर्स जडानहरू पुन: प्रमाणित गर्न र थप सुरक्षा सावधानीहरू अपनाउन आग्रह गरिरहेको छ।

प्रमुख सिफारिसहरू समावेश छन्:

• अवस्थित API कुञ्जीहरू रद्द गर्ने र घुमाउने
• नयाँ कुञ्जीहरूसँग ड्रिफ्ट एकीकरणहरू पुन: जडान गर्दै
• शंकास्पद प्रश्नहरू र सम्भावित डेटा एक्सपोजरको लागि लगहरूको समीक्षा गर्दै
• प्रभाव निर्धारण गर्न गहन अनुसन्धान गर्दै

API कुञ्जीहरू मार्फत ड्रिफ्ट जडानहरू व्यवस्थापन गर्ने संस्थाहरूको लागि, सक्रिय कुञ्जी रोटेशनलाई कडाइका साथ सल्लाह दिइन्छ। यद्यपि, OAuth एकीकरणहरू पहिले नै Salesloft द्वारा सिधै सम्बोधन गरिँदैछ।

अन्तिम टेकअवे

यो अभियानले SaaS इकोसिस्टम भित्र तेस्रो-पक्ष एकीकरणको बढ्दो जोखिमलाई हाइलाइट गर्दछ। चोरी गरिएको OAuth टोकनहरूको दुरुपयोग गरेर, UNC6395 ले लक्षित, लुकेको, र आपूर्ति श्रृंखला-उन्मुख सञ्चालनहरू गर्ने क्षमता प्रदर्शन गर्‍यो। यो कार्यक्रमले क्लाउड-आधारित प्लेटफर्महरू, शक्तिशाली भए पनि, डिजिटल आपूर्ति श्रृंखलामा विश्वास सम्बन्धहरूको शोषण गर्न खोज्ने खतरा अभिनेताहरूको लागि प्रमुख लक्ष्य रहन्छ भन्ने कुराको सम्झना गराउँछ।