Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Vulnerabilidade Violação de dados da Salesloft

Violação de dados da Salesloft

Por Mezo em Vulnerabilidade, Ameaça Persistente Avançada (APT)
Traduzir Para:

Um ataque cibernético em larga escala comprometeu a integração da Salesloft com o agente de chat Drift AI, permitindo que hackers roubassem tokens OAuth e de atualização. O agente da ameaça, identificado como UNC6395, explorou esses tokens roubados para violar os ambientes de clientes da Salesforce. Especialistas em segurança identificaram mais de 700 organizações como potencialmente afetadas.

Cronologia da Violação

As investigações revelam que a atividade maliciosa ocorreu de 8 a 18 de agosto de 2025. Durante esse período, os invasores utilizaram tokens OAuth comprometidos vinculados ao Drift para se infiltrar em instâncias do Salesforce. Uma vez lá, eles exportaram grandes quantidades de dados corporativos, com o objetivo de coletar credenciais confidenciais, como:

  • Chaves de acesso da Amazon Web Services (AWS)
  • Senhas
  • Tokens relacionados a floco de neve

Métodos de Ataque e Tradecraft

O que destaca esta campanha é a precisão metódica da UNC6395. Eles não realizaram uma intrusão única, mas lançaram ataques estruturados e repetidos em centenas de inquilinos do Salesforce. As principais observações incluem:

Execução disciplinada – Consultas foram executadas sistematicamente para identificar e extrair credenciais.

Conscientização operacional – Os invasores excluíram tarefas de consulta para ocultar rastros de suas atividades.

Seleção de alvos – Muitas das organizações violadas eram fornecedores de tecnologia e segurança, sugerindo que isso poderia ser uma tentativa de infiltração na cadeia de suprimentos.

Ao comprometer fornecedores e provedores de serviços, o grupo se posicionou para expandir os ataques aos ecossistemas de clientes e parceiros.

Resposta da Salesloft e da Salesforce

A Salesloft emitiu um comunicado em 20 de agosto de 2025, reconhecendo a violação e confirmando o cancelamento de todas as conexões entre a Drift e a Salesforce. A Salesforce também emitiu seu próprio comunicado, observando que apenas um "pequeno número de clientes" foi diretamente afetado. Ambas as empresas tomaram medidas imediatas após o incidente:

  • Tokens de acesso e atualização ativos invalidados
  • Drift removido do AppExchange
  • Colaborou para conter o ataque e avaliar o impacto

A Salesloft enfatizou que o incidente não afeta organizações sem integrações com o Salesforce.

Panorama de ameaças mais amplo

Os ambientes Salesforce têm se tornado alvos cada vez mais lucrativos para grupos com motivação financeira. Outros clusters, como UNC6040 e UNC6240 (ShinyHunters), são conhecidos por explorar ambientes SaaS, com o UNC6240 até mesmo firmando parceria com o Scattered Spider (UNC3944) para campanhas de acesso inicial.

Atualmente, não há evidências que vinculem o UNC6395 a esses grupos, o que o torna um novo e distinto grupo de ameaças. A escala, o foco e a sofisticação de sua campanha, no entanto, o colocam no mesmo patamar de adversários de alto risco.

Mitigação e próximos passos

A Salesloft contratou fornecedores terceirizados de segurança para apoiar as investigações e os esforços de remediação. A empresa está solicitando aos administradores que reautenticam as conexões do Salesforce para restaurar as integrações e tomar precauções adicionais de segurança.

As principais recomendações incluem:

  • Revogar e rotacionar chaves de API existentes
  • Reconectando integrações do Drift com novas chaves
  • Revisando logs para consultas suspeitas e potencial exposição de dados
  • Realizar investigações mais profundas para determinar o impacto

Para organizações que gerenciam conexões Drift por meio de chaves de API, a rotação proativa de chaves é altamente recomendada. Integrações OAuth, no entanto, já estão sendo abordadas diretamente pela Salesloft.

Conclusão final

Esta campanha destaca os riscos crescentes de integrações de terceiros em ecossistemas SaaS. Ao explorar tokens OAuth roubados, a UNC6395 demonstrou a capacidade de realizar operações direcionadas, furtivas e focadas na cadeia de suprimentos. O evento serve como um lembrete de que plataformas baseadas em nuvem, embora poderosas, continuam sendo alvos prioritários de cibercriminosos que buscam explorar relações de confiança em toda a cadeia de suprimentos digital.

Tendendo

Mais visto

Carregando...