ਸੇਲਸਲੌਫਟ ਡੇਟਾ ਉਲੰਘਣਾ
ਇੱਕ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਹੋਏ ਸਾਈਬਰ ਹਮਲੇ ਨੇ ਸੇਲਸਲੌਫਟ ਦੇ ਡ੍ਰਿਫਟ ਏਆਈ ਚੈਟ ਏਜੰਟ ਨਾਲ ਏਕੀਕਰਨ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ ਹੈ, ਜਿਸ ਨਾਲ ਹੈਕਰਾਂ ਨੂੰ OAuth ਚੋਰੀ ਕਰਨ ਅਤੇ ਟੋਕਨਾਂ ਨੂੰ ਰਿਫ੍ਰੈਸ਼ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ ਗਿਆ ਹੈ। ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ, ਜਿਸਨੂੰ UNC6395 ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ, ਨੇ ਸੇਲਸਫੋਰਸ ਗਾਹਕ ਵਾਤਾਵਰਣ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਲਈ ਇਹਨਾਂ ਚੋਰੀ ਕੀਤੇ ਟੋਕਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ। ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੇ 700 ਤੋਂ ਵੱਧ ਸੰਗਠਨਾਂ ਨੂੰ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਪ੍ਰਭਾਵਿਤ ਵਜੋਂ ਪਛਾਣਿਆ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਉਲੰਘਣਾ ਦੀ ਸਮਾਂਰੇਖਾ
ਜਾਂਚ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਇਹ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ 8 ਅਗਸਤ ਤੋਂ 18 ਅਗਸਤ, 2025 ਤੱਕ ਫੈਲੀ ਹੋਈ ਸੀ। ਇਸ ਸਮੇਂ ਦੌਰਾਨ, ਹਮਲਾਵਰਾਂ ਨੇ ਸੇਲਸਫੋਰਸ ਉਦਾਹਰਣਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਲਈ ਡ੍ਰਿਫਟ ਨਾਲ ਜੁੜੇ ਸਮਝੌਤਾ ਕੀਤੇ OAuth ਟੋਕਨਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਇੱਕ ਵਾਰ ਅੰਦਰ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਉਨ੍ਹਾਂ ਨੇ ਵੱਡੀ ਮਾਤਰਾ ਵਿੱਚ ਕਾਰਪੋਰੇਟ ਡੇਟਾ ਨਿਰਯਾਤ ਕੀਤਾ, ਜਿਸਦਾ ਉਦੇਸ਼ ਸੰਵੇਦਨਸ਼ੀਲ ਪ੍ਰਮਾਣ ਪੱਤਰ ਇਕੱਠੇ ਕਰਨਾ ਸੀ ਜਿਵੇਂ ਕਿ:
- ਐਮਾਜ਼ਾਨ ਵੈੱਬ ਸਰਵਿਸਿਜ਼ (AWS) ਐਕਸੈਸ ਕੁੰਜੀਆਂ
- ਪਾਸਵਰਡ
- ਸਨੋਫਲੇਕ ਨਾਲ ਸਬੰਧਤ ਟੋਕਨ
ਹਮਲੇ ਦੇ ਤਰੀਕੇ ਅਤੇ ਵਪਾਰ
ਇਸ ਮੁਹਿੰਮ ਨੂੰ UNC6395 ਦੀ ਵਿਧੀਗਤ ਸ਼ੁੱਧਤਾ ਹੀ ਵੱਖਰਾ ਬਣਾਉਂਦੀ ਹੈ। ਉਨ੍ਹਾਂ ਨੇ ਇੱਕ ਵਾਰ ਘੁਸਪੈਠ ਨਹੀਂ ਕੀਤੀ ਸਗੋਂ ਸੈਂਕੜੇ ਸੇਲਸਫੋਰਸ ਕਿਰਾਏਦਾਰਾਂ 'ਤੇ ਢਾਂਚਾਗਤ ਅਤੇ ਵਾਰ-ਵਾਰ ਹਮਲੇ ਕੀਤੇ। ਮੁੱਖ ਨਿਰੀਖਣਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
ਅਨੁਸ਼ਾਸਿਤ ਅਮਲ - ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਕੱਢਣ ਲਈ ਪੁੱਛਗਿੱਛਾਂ ਨੂੰ ਯੋਜਨਾਬੱਧ ਢੰਗ ਨਾਲ ਚਲਾਇਆ ਗਿਆ ਸੀ।
ਕਾਰਜਸ਼ੀਲ ਜਾਗਰੂਕਤਾ - ਹਮਲਾਵਰਾਂ ਨੇ ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੇ ਨਿਸ਼ਾਨ ਛੁਪਾਉਣ ਲਈ ਪੁੱਛਗਿੱਛ ਨੌਕਰੀਆਂ ਨੂੰ ਮਿਟਾ ਦਿੱਤਾ।
ਟੀਚੇ ਦੀ ਚੋਣ - ਉਲੰਘਣਾ ਕਰਨ ਵਾਲੇ ਬਹੁਤ ਸਾਰੇ ਸੰਗਠਨ ਤਕਨਾਲੋਜੀ ਅਤੇ ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਤਾ ਸਨ, ਜੋ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਇਹ ਸਪਲਾਈ ਚੇਨ ਘੁਸਪੈਠ ਦੀ ਕੋਸ਼ਿਸ਼ ਹੋ ਸਕਦੀ ਹੈ।
ਵਿਕਰੇਤਾਵਾਂ ਅਤੇ ਸੇਵਾ ਪ੍ਰਦਾਤਾਵਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਕੇ, ਸਮੂਹ ਨੇ ਆਪਣੇ ਆਪ ਨੂੰ ਗਾਹਕਾਂ ਅਤੇ ਭਾਈਵਾਲ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਹਮਲਿਆਂ ਨੂੰ ਹੇਠਾਂ ਵੱਲ ਵਧਾਉਣ ਲਈ ਸਥਿਤੀ ਵਿੱਚ ਰੱਖਿਆ।
ਸੇਲਸਲੌਫਟ ਅਤੇ ਸੇਲਸਫੋਰਸ ਤੋਂ ਜਵਾਬ
ਸੇਲਸਲੌਫਟ ਨੇ 20 ਅਗਸਤ, 2025 ਨੂੰ ਇੱਕ ਸਲਾਹਕਾਰੀ ਜਾਰੀ ਕੀਤੀ, ਜਿਸ ਵਿੱਚ ਉਲੰਘਣਾ ਨੂੰ ਸਵੀਕਾਰ ਕੀਤਾ ਗਿਆ ਅਤੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਕਿ ਇਸਨੇ ਸਾਰੇ ਡਰਿਫਟ-ਸੇਲਸਫੋਰਸ ਕਨੈਕਸ਼ਨ ਰੱਦ ਕਰ ਦਿੱਤੇ ਹਨ। ਸੇਲਸਫੋਰਸ ਨੇ ਆਪਣੇ ਬਿਆਨ ਨਾਲ ਇਸ ਗੱਲ ਦਾ ਪਾਲਣ ਕੀਤਾ, ਇਹ ਨੋਟ ਕਰਦੇ ਹੋਏ ਕਿ ਸਿਰਫ 'ਥੋੜ੍ਹੇ ਜਿਹੇ ਗਾਹਕ' ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਪ੍ਰਭਾਵਿਤ ਹੋਏ ਸਨ। ਦੋਵਾਂ ਕੰਪਨੀਆਂ ਨੇ ਘਟਨਾ ਤੋਂ ਬਾਅਦ ਤੁਰੰਤ ਕਦਮ ਚੁੱਕੇ ਹਨ:
- ਅਵੈਧ ਸਰਗਰਮ ਪਹੁੰਚ ਅਤੇ ਰਿਫ੍ਰੈਸ਼ ਟੋਕਨ
- ਐਪਐਕਸਚੇਂਜ ਤੋਂ ਡ੍ਰਿਫਟ ਹਟਾਇਆ ਗਿਆ
- ਹਮਲੇ ਨੂੰ ਰੋਕਣ ਅਤੇ ਪ੍ਰਭਾਵ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨ ਲਈ ਸਹਿਯੋਗ ਕੀਤਾ
ਸੇਲਸਲੌਫਟ ਨੇ ਜ਼ੋਰ ਦੇ ਕੇ ਕਿਹਾ ਕਿ ਇਹ ਘਟਨਾ ਸੇਲਸਫੋਰਸ ਏਕੀਕਰਨ ਤੋਂ ਬਿਨਾਂ ਸੰਗਠਨਾਂ ਨੂੰ ਪ੍ਰਭਾਵਤ ਨਹੀਂ ਕਰਦੀ।
ਵਿਆਪਕ ਧਮਕੀ ਵਾਲਾ ਦ੍ਰਿਸ਼
ਸੇਲਸਫੋਰਸ ਵਾਤਾਵਰਣ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਸਮੂਹਾਂ ਲਈ ਵੱਧ ਤੋਂ ਵੱਧ ਲਾਭਦਾਇਕ ਨਿਸ਼ਾਨਾ ਬਣ ਗਏ ਹਨ। ਹੋਰ ਕਲੱਸਟਰ, ਜਿਵੇਂ ਕਿ UNC6040 ਅਤੇ UNC6240 (ਸ਼ਾਈਨੀਹੰਟਰਸ), SaaS ਵਾਤਾਵਰਣਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਜਾਣੇ ਜਾਂਦੇ ਹਨ, UNC6240 ਨੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਮੁਹਿੰਮਾਂ ਲਈ Scattered Spider (UNC3944) ਨਾਲ ਵੀ ਭਾਈਵਾਲੀ ਕੀਤੀ ਹੈ।
ਇਸ ਵੇਲੇ, UNC6395 ਨੂੰ ਇਹਨਾਂ ਸਮੂਹਾਂ ਨਾਲ ਜੋੜਨ ਦਾ ਕੋਈ ਸਬੂਤ ਨਹੀਂ ਹੈ, ਜੋ ਇਸਨੂੰ ਇੱਕ ਨਵਾਂ ਅਤੇ ਵੱਖਰਾ ਖ਼ਤਰਾ ਸਮੂਹ ਬਣਾਉਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਇਸਦੀ ਮੁਹਿੰਮ ਦਾ ਪੈਮਾਨਾ, ਫੋਕਸ ਅਤੇ ਸੂਝ-ਬੂਝ ਇਸਨੂੰ ਉੱਚ-ਜੋਖਮ ਵਾਲੇ ਵਿਰੋਧੀਆਂ ਦੀ ਉਸੇ ਲੀਗ ਵਿੱਚ ਰੱਖਦੀ ਹੈ।
ਘਟਾਉਣਾ ਅਤੇ ਅਗਲੇ ਕਦਮ
ਸੇਲਸਲੌਫਟ ਨੇ ਜਾਂਚ ਅਤੇ ਉਪਚਾਰ ਯਤਨਾਂ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਤੀਜੀ-ਧਿਰ ਸੁਰੱਖਿਆ ਵਿਕਰੇਤਾਵਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕੀਤਾ ਹੈ। ਕੰਪਨੀ ਪ੍ਰਸ਼ਾਸਕਾਂ ਨੂੰ ਏਕੀਕਰਨ ਨੂੰ ਬਹਾਲ ਕਰਨ ਲਈ ਸੇਲਸਫੋਰਸ ਕਨੈਕਸ਼ਨਾਂ ਨੂੰ ਦੁਬਾਰਾ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਅਤੇ ਵਾਧੂ ਸੁਰੱਖਿਆ ਸਾਵਧਾਨੀਆਂ ਵਰਤਣ ਦੀ ਅਪੀਲ ਕਰ ਰਹੀ ਹੈ।
ਮੁੱਖ ਸਿਫ਼ਾਰਸ਼ਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਮੌਜੂਦਾ API ਕੁੰਜੀਆਂ ਨੂੰ ਰੱਦ ਕਰਨਾ ਅਤੇ ਘੁੰਮਾਉਣਾ
- ਡ੍ਰਿਫਟ ਏਕੀਕਰਨ ਨੂੰ ਨਵੀਆਂ ਕੁੰਜੀਆਂ ਨਾਲ ਦੁਬਾਰਾ ਜੋੜਨਾ
- ਸ਼ੱਕੀ ਪੁੱਛਗਿੱਛਾਂ ਅਤੇ ਸੰਭਾਵੀ ਡੇਟਾ ਐਕਸਪੋਜਰ ਲਈ ਲੌਗਾਂ ਦੀ ਸਮੀਖਿਆ ਕਰਨਾ
- ਪ੍ਰਭਾਵ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਡੂੰਘੀ ਜਾਂਚ ਕਰਨਾ
API ਕੁੰਜੀਆਂ ਰਾਹੀਂ ਡ੍ਰਿਫਟ ਕਨੈਕਸ਼ਨਾਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਵਾਲੀਆਂ ਸੰਸਥਾਵਾਂ ਲਈ, ਪ੍ਰੋਐਕਟਿਵ ਕੁੰਜੀ ਰੋਟੇਸ਼ਨ ਦੀ ਜ਼ੋਰਦਾਰ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ। ਹਾਲਾਂਕਿ, OAuth ਏਕੀਕਰਨ ਪਹਿਲਾਂ ਹੀ ਸੇਲਸਲੌਫਟ ਦੁਆਰਾ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਸੰਬੋਧਿਤ ਕੀਤੇ ਜਾ ਰਹੇ ਹਨ।
ਅੰਤਿਮ ਟੇਕਅਵੇਅ
ਇਹ ਮੁਹਿੰਮ SaaS ਈਕੋਸਿਸਟਮ ਦੇ ਅੰਦਰ ਤੀਜੀ-ਧਿਰ ਦੇ ਏਕੀਕਰਨ ਦੇ ਵਧ ਰਹੇ ਜੋਖਮਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਚੋਰੀ ਹੋਏ OAuth ਟੋਕਨਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਕੇ, UNC6395 ਨੇ ਨਿਸ਼ਾਨਾਬੱਧ, ਸਟੀਲਥੀ, ਅਤੇ ਸਪਲਾਈ ਚੇਨ-ਮੁਖੀ ਕਾਰਜਾਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਦੀ ਯੋਗਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ। ਇਹ ਪ੍ਰੋਗਰਾਮ ਇੱਕ ਯਾਦ ਦਿਵਾਉਂਦਾ ਹੈ ਕਿ ਕਲਾਉਡ-ਅਧਾਰਿਤ ਪਲੇਟਫਾਰਮ, ਜਦੋਂ ਕਿ ਸ਼ਕਤੀਸ਼ਾਲੀ ਹਨ, ਡਿਜੀਟਲ ਸਪਲਾਈ ਚੇਨ ਵਿੱਚ ਵਿਸ਼ਵਾਸ ਸਬੰਧਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਵਾਲੇ ਖ਼ਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਲਈ ਮੁੱਖ ਨਿਸ਼ਾਨਾ ਬਣੇ ਰਹਿੰਦੇ ਹਨ।
