Únik údajov zo spoločnosti Salesloft

Rozsiahly kybernetický útok ohrozil integráciu spoločnosti Salesloft s chatovacím agentom Drift AI, čo hackerom umožnilo ukradnúť OAuth a obnoviť tokeny. Útočník, sledovaný ako UNC6395, zneužil tieto ukradnuté tokeny na narušenie zákazníckeho prostredia Salesforce. Bezpečnostní experti identifikovali viac ako 700 organizácií ako potenciálne postihnutých.

Časová os porušenia

Vyšetrovania odhalili, že škodlivá aktivita prebiehala od 8. do 18. augusta 2025. Počas tohto obdobia útočníci využili kompromitované tokeny OAuth prepojené s Driftom na infiltráciu inštancií Salesforce. Po vstupe do systému exportovali obrovské množstvo firemných údajov s cieľom zhromaždiť citlivé prihlasovacie údaje, ako napríklad:

• Prístupové kľúče k službám Amazon Web Services (AWS)
• Heslá
• Tokeny súvisiace so snehovými vločkami

Metódy útoku a remeslá

Táto kampaň vyniká metodickou presnosťou UNC6395. Neuskutočnili jednorazový prienik, ale namiesto toho spustili štruktúrované a opakované útoky na stovky nájomníkov Salesforce. Medzi kľúčové postrehy patria:

Disciplinované vykonávanie – Systematicky sa spúšťali dotazy na identifikáciu a extrahovanie poverení.

Prevádzkové povedomie – Útočníci vymazali úlohy dotazov, aby zakryli stopy svojich aktivít.

Výber cieľa – Mnohé z napadnutých organizácií boli poskytovatelia technológií a bezpečnosti, čo naznačuje, že by mohlo ísť o pokus o infiltráciu dodávateľského reťazca.

Ohrozením dodávateľov a poskytovateľov služieb sa skupina postavila do pozície, ktorá jej umožní rozšíriť útoky do ekosystémov zákazníkov a partnerov.

Reakcia od spoločností Salesloft a Salesforce

Spoločnosť Saleloft vydala 20. augusta 2025 upozornenie, v ktorom potvrdila narušenie a potvrdila, že zrušila všetky prepojenia medzi Drift a Salesforce. Spoločnosť Salesforce následne vydala vlastné vyhlásenie, v ktorom uviedla, že priamo postihnutý bol iba „malý počet zákazníkov“. Obe spoločnosti po incidente podnikli okamžité kroky:

• Neplatné aktívne prístupové a obnovovacie tokeny
• Odstránený Drift z AppExchange
• Spolupracovali na potlačení útoku a posúdení jeho dopadu

Spoločnosť Salesloft zdôraznila, že incident neovplyvňuje organizácie bez integrácií so systémom Salesforce.

Širšia situácia s hrozbami

Prostredia Salesforce sa čoraz viac stávajú lukratívnymi cieľmi pre finančne motivované skupiny. Iné klastre, ako napríklad UNC6040 a UNC6240 (ShinyHunters), sú známe využívaním prostredí SaaS, pričom UNC6240 dokonca spolupracuje so spoločnosťou Scattered Spider (UNC3944) na kampaniach s počiatočným prístupom.

V súčasnosti neexistujú žiadne dôkazy, ktoré by spájali UNC6395 s týmito skupinami, čo z neho robí nový a samostatný klaster hrozieb. Rozsah, zameranie a sofistikovanosť jeho kampane ho však zaraďujú do rovnakej ligy vysoko rizikových protivníkov.

Zmiernenie a ďalšie kroky

Spoločnosť Salesloft si na podporu vyšetrovania a nápravných opatrení najala externých dodávateľov bezpečnostných riešení. Spoločnosť naliehavo žiada administrátorov, aby opätovne overili pripojenia Salesforce s cieľom obnoviť integrácie a prijať dodatočné bezpečnostné opatrenia.

Medzi kľúčové odporúčania patria:

• Zrušenie a rotácia existujúcich kľúčov API
• Opätovné prepojenie integrácií Drift s novými kľúčmi
• Kontrola protokolov, či neobsahujú podozrivé dotazy a potenciálne úniky údajov
• Vykonanie hlbšieho vyšetrovania na určenie vplyvu

Pre organizácie spravujúce pripojenia Drift prostredníctvom kľúčov API sa dôrazne odporúča proaktívna rotácia kľúčov. Integrácie OAuth však už rieši priamo spoločnosť Salesloft.

Záverečné ponaučenie

Táto kampaň zdôrazňuje rastúce riziká integrácií tretích strán v rámci ekosystémov SaaS. Zneužívaním ukradnutých tokenov OAuth preukázala UNC6395 schopnosť vykonávať cielené, nenápadné a na dodávateľský reťazec orientované operácie. Podujatie slúži ako pripomienka, že cloudové platformy, hoci sú silné, zostávajú hlavnými cieľmi pre aktérov hrozby, ktorí sa snažia zneužiť dôveryhodné vzťahy v celom digitálnom dodávateľskom reťazci.