Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Cenueshmëria Salesloft Data Breach

Salesloft Data Breach

Nga MezoCenueshmëria, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një sulm kibernetik në shkallë të gjerë ka kompromentuar integrimin e Salesloft me agjentin e bisedës Drift AI, duke u mundësuar hakerëve të vjedhin OAuth dhe të rifreskojnë tokenët. Aktori i kërcënimit, i gjurmuar si UNC6395, i shfrytëzoi këto tokenë të vjedhur për të shkelur mjediset e klientëve të Salesforce. Ekspertët e sigurisë kanë identifikuar mbi 700 organizata si të prekura potencialisht.

Afati kohor i shkeljes

Hetimet zbulojnë se aktiviteti keqdashës shtrihet nga 8 gushti deri më 18 gusht 2025. Gjatë kësaj periudhe, sulmuesit përdorën token-e OAuth të kompromentuar të lidhur me Drift për të infiltruar instancat e Salesforce. Pasi hynë brenda, ata eksportuan sasi të mëdha të të dhënave të korporatave, me qëllim mbledhjen e kredencialeve të ndjeshme si:

  • Çelësat e aksesit për Shërbimet Web të Amazon (AWS)
  • Fjalëkalimet
  • Shenjat që lidhen me fjollën e dëborës

Metodat e Sulmit dhe Artizanati

Ajo që e bën këtë fushatë të dallohet është preciziteti metodik i UNC6395. Ata nuk kryen një ndërhyrje të vetme, por në vend të kësaj nisën sulme të strukturuara dhe të përsëritura në qindra qiramarrës të Salesforce. Vëzhgimet kryesore përfshijnë:

Ekzekutim i disiplinuar – Pyetjet u ekzekutuan sistematikisht për të identifikuar dhe nxjerrë kredencialet.

Ndërgjegjësim operacional – Sulmuesit fshinë detyrat e pyetjeve për të fshehur gjurmët e aktiviteteve të tyre.

Përzgjedhja e objektivit – Shumë nga organizatat e prekura nga shkelja e të dhënave ishin ofrues të teknologjisë dhe sigurisë, duke sugjeruar se kjo mund të jetë një përpjekje për infiltrim në zinxhirin e furnizimit.

Duke kompromentuar shitësit dhe ofruesit e shërbimeve, grupi e pozicionoi veten për të zgjeruar sulmet në ekosistemet e klientëve dhe partnerëve.

Përgjigje nga Salesloft dhe Salesforce

Salesloft lëshoi një njoftim më 20 gusht 2025, duke pranuar shkeljen dhe duke konfirmuar se kishte revokuar të gjitha lidhjet Drift-Salesforce. Salesforce vazhdoi me deklaratën e vet, duke vënë në dukje se vetëm një 'numër i vogël klientësh' u prekën drejtpërdrejt. Të dyja kompanitë kanë ndërmarrë hapa të menjëhershëm pas incidentit:

  • Tokenët aktivë të Qasjes dhe Rifreskimit të pavlefshëm
  • Drift u hoq nga AppExchange
  • Bashkëpunuan për të përmbajtur sulmin dhe për të vlerësuar ndikimin

Salesloft theksoi se incidenti nuk ndikon në organizatat pa integrime me Salesforce.

Peizazhi më i gjerë i kërcënimeve

Mjediset e Salesforce janë bërë gjithnjë e më shumë objektiva fitimprurëse për grupet e motivuara financiarisht. Grumbuj të tjerë, të tillë si UNC6040 dhe UNC6240 (ShinyHunters), janë të njohur për shfrytëzimin e mjediseve SaaS, me UNC6240 që madje bashkëpunon me Scattered Spider (UNC3944) për fushatat fillestare të aksesit.

Aktualisht, nuk ka prova që lidhin UNC6395 me këto grupe, duke e bërë atë një grumbull kërcënimesh të ri dhe të dallueshëm. Megjithatë, shkalla, fokusi dhe sofistikimi i fushatës së tij e vendosin atë në të njëjtën kategori kundërshtarësh me rrezik të lartë.

Zbutja dhe Hapat e Ardhshëm

Salesloft ka angazhuar shitës sigurie të palëve të treta për të mbështetur hetimet dhe përpjekjet e korrigjimit. Kompania po u kërkon administratorëve të riautentifikojnë lidhjet e Salesforce për të rivendosur integrimet dhe për të marrë masa paraprake shtesë sigurie.

Rekomandimet kryesore përfshijnë:

  • Anulimi dhe rrotullimi i çelësave ekzistues të API-t
  • Rilidhja e integrimeve Drift me çelësa të rinj
  • Rishikimi i regjistrave për pyetje të dyshimta dhe ekspozim të mundshëm të të dhënave
  • Kryerja e hetimeve më të thella për të përcaktuar ndikimin

Për organizatat që menaxhojnë lidhjet Drift përmes çelësave API, këshillohet fuqimisht rotacioni proaktiv i çelësave. Megjithatë, integrimet OAuth tashmë po trajtohen drejtpërdrejt nga Salesloft.

Përmbledhje përfundimtare

Kjo fushatë nxjerr në pah rreziqet në rritje të integrimeve të palëve të treta brenda ekosistemeve SaaS. Duke abuzuar me tokenët e vjedhur OAuth, UNC6395 demonstroi aftësinë për të kryer operacione të synuara, të fshehta dhe të orientuara drejt zinxhirit të furnizimit. Ngjarja shërben si një kujtesë se platformat e bazuara në cloud, ndonëse të fuqishme, mbeten objektivat kryesore për aktorët kërcënues që kërkojnë të shfrytëzojnë marrëdhëniet e besimit në të gjithë zinxhirin dixhital të furnizimit.

Në trend

Më e shikuara

Po ngarkohet...