Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Vulnerabilitate Încălcarea datelor Salesloft

Încălcarea datelor Salesloft

Până în Mezo în Vulnerabilitate, Amenințare persistentă avansată (APT)
Tradu in:

Un atac cibernetic la scară largă a compromis integrarea Salesloft cu agentul de chat Drift AI, permițând hackerilor să fure token-uri OAuth și să actualizeze datele. Actorul amenințător, identificat ca UNC6395, a exploatat aceste token-uri furate pentru a încălca mediile clienților Salesforce. Experții în securitate au identificat peste 700 de organizații ca fiind potențial afectate.

Cronologia încălcării

Investigațiile arată că activitatea rău intenționată s-a desfășurat în perioada 8-18 august 2025. În această perioadă, atacatorii au folosit token-uri OAuth compromise legate de Drift pentru a se infiltra în instanțele Salesforce. Odată ajunși în interior, au exportat cantități masive de date corporative, cu scopul de a colecta acreditări sensibile, cum ar fi:

  • Chei de acces Amazon Web Services (AWS)
  • Parole
  • Jetoane legate de fulgii de zăpadă

Metode de atac și meșteșuguri

Ceea ce face ca această campanie să iasă în evidență este precizia metodică a UNC6395. Nu au efectuat o intruziune singulară, ci au lansat atacuri structurate și repetate asupra a sute de entități Salesforce. Printre observațiile cheie se numără:

Execuție disciplinată – Interogările au fost executate sistematic pentru a identifica și extrage acreditări.

Conștientizare operațională – Atacatorii au șters interogările pentru a ascunde urmele activităților lor.

Selectarea țintei – Multe dintre organizațiile afectate de breșe de securitate erau furnizori de tehnologie și securitate, ceea ce sugerează că ar putea fi vorba de o tentativă de infiltrare în lanțul de aprovizionare.

Prin compromiterea furnizorilor și a prestatorilor de servicii, grupul s-a poziționat pentru a extinde atacurile în aval, în ecosistemele clienților și partenerilor.

Răspuns de la Salesloft și Salesforce

Salesloft a emis un aviz pe 20 august 2025, recunoscând încălcarea și confirmând că a revocat toate conexiunile Drift-Salesforce. Salesforce a urmat cu propria declarație, menționând că doar un „număr mic de clienți” au fost afectați direct. Ambele companii au luat măsuri imediate în urma incidentului:

  • Jetoane de acces și actualizare active invalidate
  • Eliminarea Drift din AppExchange
  • A colaborat pentru a limita atacul și a evalua impactul

Salesloft a subliniat că incidentul nu afectează organizațiile fără integrări Salesforce.

Peisajul amenințărilor mai larg

Mediile Salesforce au devenit din ce în ce mai mult ținte profitabile pentru grupurile motivate financiar. Alte clustere, cum ar fi UNC6040 și UNC6240 (ShinyHunters), sunt cunoscute pentru exploatarea mediilor SaaS, UNC6240 chiar colaborând cu Scattered Spider (UNC3944) pentru campanii de acces inițial.

În prezent, nu există dovezi care să lege UNC6395 de aceste grupuri, ceea ce îl transformă într-un grup de amenințări nou și distinct. Amploarea, concentrarea și sofisticarea campaniei sale îl plasează însă în aceeași categorie cu adversarii cu risc ridicat.

Atenuare și pașii următori

Salesloft a angajat furnizori terți de servicii de securitate pentru a sprijini investigațiile și eforturile de remediere. Compania îndeamnă administratorii să reautentifice conexiunile Salesforce pentru a restabili integrările și a lua măsuri de precauție suplimentare de securitate.

Recomandările cheie includ:

  • Revocarea și rotirea cheilor API existente
  • Reconectarea integrărilor Drift cu chei noi
  • Revizuirea jurnalelor pentru interogări suspecte și potențială expunere a datelor
  • Efectuarea unor investigații mai aprofundate pentru a determina impactul

Pentru organizațiile care gestionează conexiunile Drift prin chei API, se recomandă insistent rotația proactivă a cheilor. Cu toate acestea, integrările OAuth sunt deja abordate direct de Salesloft.

Concluzie finală

Această campanie evidențiază riscurile tot mai mari ale integrărilor terților în cadrul ecosistemelor SaaS. Prin utilizarea abuzivă a token-urilor OAuth furate, UNC6395 a demonstrat capacitatea de a efectua operațiuni direcționate, discrete și orientate către lanțul de aprovizionare. Evenimentul servește ca o reamintire a faptului că platformele bazate pe cloud, deși puternice, rămân ținte principale pentru actorii care doresc să exploateze relațiile de încredere din întregul lanț de aprovizionare digital.

Trending

Cele mai văzute

Se încarcă...