Kršitev podatkov Saleloft
Obsežen kibernetski napad je ogrozil integracijo Saleslofta z klepetalnim agentom Drift AI, kar je hekerjem omogočilo krajo žetonov OAuth in osvežitve. Grozljivka, ki jo je sledilo kot UNC6395, je te ukradene žetone izkoristila za vdor v uporabniška okolja Salesforce. Varnostni strokovnjaki so kot potencialno prizadetih prepoznali več kot 700 organizacij.
Kazalo
Časovnica kršitve
Preiskave razkrivajo, da je zlonamerna dejavnost trajala od 8. do 18. avgusta 2025. V tem obdobju so napadalci izkoristili ogrožene žetone OAuth, povezane z Driftom, za infiltracijo v instance Salesforce. Ko so vstopili, so izvozili ogromne količine poslovnih podatkov z namenom zbiranja občutljivih poverilnic, kot so:
- Dostopni ključi za Amazon Web Services (AWS)
- Gesla
- Žetoni, povezani s snežinko
Metode napada in obrt
Kar to kampanjo loči od drugih, je metodična natančnost UNC6395. Niso izvedli enkratnega vdora, temveč so sprožili strukturirane in ponavljajoče se napade na stotine najemnikov Salesforcea. Ključna opažanja vključujejo:
Disciplinirano izvajanje – Poizvedbe so bile sistematično izvedene za identifikacijo in pridobivanje poverilnic.
Operativna ozaveščenost – Napadalci so izbrisali poizvedbene naloge, da bi prikrili sledi svojih dejavnosti.
Izbira tarče – Številne organizacije, v katere je bila vdor v sisteme vpletena, so bile ponudniki tehnologije in varnosti, kar kaže na to, da bi lahko šlo za poskus infiltracije v dobavno verigo.
Z ogrožanjem prodajalcev in ponudnikov storitev se je skupina pozicionirala tako, da je lahko napade razširila na ekosisteme strank in partnerjev.
Odgovor podjetij Salesloft in Salesforce
Saleloft je 20. avgusta 2025 izdal opozorilo, v katerem je potrdil kršitev in potrdil, da je preklical vse povezave med Driftom in Salesforceom. Salesforce je nato izdal svojo izjavo, v kateri je poudaril, da je bilo neposredno prizadeto le »majhno število strank«. Obe podjetji sta po incidentu takoj ukrepali:
- Neveljavni aktivni žetoni za dostop in osvežitev
- Odstranjen Drift iz AppExchange
- Sodelovali so pri zajezitvi napada in oceni vpliva
Salesloft je poudaril, da incident ne vpliva na organizacije brez integracij Salesforcea.
Širša pokrajina groženj
Okolja Salesforce postajajo vse bolj donosne tarče za finančno motivirane skupine. Drugi grozdi, kot sta UNC6040 in UNC6240 (ShinyHunters), so znani po izkoriščanju okolij SaaS, pri čemer UNC6240 celo sodeluje s Scattered Spider (UNC3944) za začetne dostopovne kampanje.
Trenutno ni dokazov, ki bi UNC6395 povezovali s temi skupinami, zaradi česar gre za novo in ločeno grožnjo. Vendar pa jo obseg, osredotočenost in prefinjenost njene kampanje uvrščajo v isto ligo visoko tveganih nasprotnikov.
Blaženje in naslednji koraki
Salesloft je za podporo preiskavam in prizadevanjem za sanacijo najeto zunanje ponudnike varnostnih rešitev. Podjetje poziva skrbnike, naj ponovno preverijo pristnost povezav Salesforce, da bi obnovili integracije in sprejeli dodatne varnostne ukrepe.
Ključna priporočila vključujejo:
- Preklic in rotacija obstoječih ključev API
- Ponovno povezovanje integracij Drift z novimi ključi
- Pregled dnevnikov za sumljive poizvedbe in morebitno izpostavljenost podatkov
- Izvedba poglobljenih preiskav za določitev vpliva
Za organizacije, ki upravljajo povezave Drift prek ključev API, je močno priporočljiva proaktivna rotacija ključev. Integracije OAuth pa Salesloft že obravnava neposredno.
Končni zapis
Ta kampanja poudarja naraščajoča tveganja integracij tretjih oseb znotraj ekosistemov SaaS. Z zlorabo ukradenih žetonov OAuth je UNC6395 dokazal sposobnost izvajanja ciljno usmerjenih, prikritih in na dobavno verigo usmerjenih operacij. Dogodek služi kot opomnik, da platforme v oblaku, čeprav močne, ostajajo glavne tarče za akterje grožnje, ki želijo izkoristiti zaupanja vredne odnose v celotni digitalni dobavni verigi.
