సేల్స్లాఫ్ట్ డేటా ఉల్లంఘన
పెద్ద ఎత్తున జరిగిన సైబర్ దాడి వల్ల సేల్స్లాఫ్ట్ డ్రిఫ్ట్ AI చాట్ ఏజెంట్తో ఏకీకరణ దెబ్బతింది, దీని వలన హ్యాకర్లు OAuthను దొంగిలించి టోకెన్లను రిఫ్రెష్ చేయగలిగారు. UNC6395గా గుర్తించబడిన బెదిరింపు నటుడు, సేల్స్ఫోర్స్ కస్టమర్ వాతావరణాలను ఉల్లంఘించడానికి ఈ దొంగిలించబడిన టోకెన్లను ఉపయోగించుకున్నాడు. భద్రతా నిపుణులు 700 కంటే ఎక్కువ సంస్థలను సంభావ్యంగా ప్రభావితం చేసినట్లు గుర్తించారు.
విషయ సూచిక
ఉల్లంఘన యొక్క కాలక్రమం
దర్యాప్తులో ఈ దుర్మార్గపు కార్యకలాపాలు ఆగస్టు 8 నుండి ఆగస్టు 18, 2025 వరకు జరిగినట్లు వెల్లడైంది. ఈ కాలంలో, దాడి చేసేవారు సేల్స్ఫోర్స్ కేసుల్లోకి చొరబడటానికి డ్రిఫ్ట్తో ముడిపడి ఉన్న రాజీపడిన OAuth టోకెన్లను ఉపయోగించారు. లోపలికి ప్రవేశించిన తర్వాత, వారు భారీ మొత్తంలో కార్పొరేట్ డేటాను ఎగుమతి చేశారు, సున్నితమైన ఆధారాలను సేకరించే లక్ష్యంతో:
- అమెజాన్ వెబ్ సర్వీసెస్ (AWS) యాక్సెస్ కీలు
- పాస్వర్డ్లు
- స్నోఫ్లేక్ సంబంధిత టోకెన్లు
దాడి పద్ధతులు మరియు వాణిజ్య నైపుణ్యాలు
ఈ ప్రచారాన్ని ప్రత్యేకంగా నిలబెట్టేది UNC6395 యొక్క క్రమబద్ధమైన ఖచ్చితత్వం. వారు ఒకేసారి చొరబాటు చేయలేదు, బదులుగా వందలాది మంది సేల్స్ఫోర్స్ అద్దెదారులపై నిర్మాణాత్మక మరియు పదేపదే దాడులు చేశారు. ముఖ్యమైన పరిశీలనలు:
క్రమశిక్షణతో కూడిన అమలు - ఆధారాలను గుర్తించడానికి మరియు సేకరించడానికి ప్రశ్నలు క్రమపద్ధతిలో నిర్వహించబడ్డాయి.
కార్యాచరణ అవగాహన – దాడి చేసేవారు తమ కార్యకలాపాల జాడలను దాచడానికి ప్రశ్న ఉద్యోగాలను తొలగించారు.
లక్ష్య ఎంపిక - ఉల్లంఘించబడిన అనేక సంస్థలు సాంకేతికత మరియు భద్రతా ప్రదాతలు, ఇది సరఫరా గొలుసు చొరబాటు ప్రయత్నం కావచ్చని సూచిస్తున్నాయి.
విక్రేతలు మరియు సేవా ప్రదాతలతో రాజీ పడటం ద్వారా, ఆ సమూహం దాడులను దిగువ నుండి కస్టమర్ మరియు భాగస్వామి పర్యావరణ వ్యవస్థల్లోకి విస్తరించడానికి తనను తాను నిలబెట్టుకుంది.
సేల్స్లాఫ్ట్ మరియు సేల్స్ఫోర్స్ నుండి ప్రతిస్పందన
సేల్స్లాఫ్ట్ ఆగస్టు 20, 2025న ఒక అడ్వైజరీ జారీ చేసింది, ఉల్లంఘనను అంగీకరిస్తూ మరియు అన్ని డ్రిఫ్ట్–సేల్స్ఫోర్స్ కనెక్షన్లను రద్దు చేసినట్లు ధృవీకరిస్తుంది. సేల్స్ఫోర్స్ తన స్వంత ప్రకటనను విడుదల చేసింది, 'కొద్ది సంఖ్యలో కస్టమర్లు' మాత్రమే ప్రత్యక్షంగా ప్రభావితమయ్యారని పేర్కొంది. ఈ సంఘటన తర్వాత రెండు కంపెనీలు తక్షణ చర్యలు తీసుకున్నాయి:
- చెల్లని యాక్టివ్ యాక్సెస్ మరియు రిఫ్రెష్ టోకెన్లు
- AppExchange నుండి డ్రిఫ్ట్ తీసివేయబడింది
- దాడిని అరికట్టడానికి మరియు ప్రభావాన్ని అంచనా వేయడానికి సహకరించారు.
సేల్స్ఫోర్స్ ఇంటిగ్రేషన్లు లేని సంస్థలను ఈ సంఘటన ప్రభావితం చేయదని సేల్స్లాఫ్ట్ నొక్కి చెప్పింది.
విస్తృత ముప్పు ప్రకృతి దృశ్యం
సేల్స్ఫోర్స్ వాతావరణాలు ఆర్థికంగా ప్రేరేపించబడిన సమూహాలకు లాభదాయకమైన లక్ష్యాలుగా మారుతున్నాయి. UNC6040 మరియు UNC6240 (షైనీహంటర్స్) వంటి ఇతర క్లస్టర్లు SaaS వాతావరణాలను దోపిడీ చేయడానికి ప్రసిద్ధి చెందాయి, UNC6240 ప్రారంభ యాక్సెస్ ప్రచారాల కోసం స్కాటర్డ్ స్పైడర్ (UNC3944)తో కూడా భాగస్వామ్యం కలిగి ఉంది.
ప్రస్తుతం, UNC6395 ను ఈ గ్రూపులతో అనుసంధానించే ఆధారాలు లేవు, ఇది కొత్త మరియు విభిన్నమైన ముప్పు సమూహంగా మారింది. అయితే, దాని ప్రచారం యొక్క స్థాయి, దృష్టి మరియు అధునాతనత, దానిని అధిక-ప్రమాదకర ప్రత్యర్థుల లీగ్లో ఉంచుతుంది.
తగ్గింపు మరియు తదుపరి దశలు
సేల్స్లాఫ్ట్ దర్యాప్తులు మరియు పరిష్కార ప్రయత్నాలకు మద్దతు ఇవ్వడానికి మూడవ పక్ష భద్రతా విక్రేతలను నియమించుకుంది. ఇంటిగ్రేషన్లను పునరుద్ధరించడానికి మరియు అదనపు భద్రతా జాగ్రత్తలు తీసుకోవడానికి సేల్స్ఫోర్స్ కనెక్షన్లను తిరిగి ప్రామాణీకరించాలని కంపెనీ నిర్వాహకులను కోరుతోంది.
ముఖ్య సిఫార్సులలో ఇవి ఉన్నాయి:
- ఇప్పటికే ఉన్న API కీలను ఉపసంహరించుకోవడం మరియు తిప్పడం
- కొత్త కీలతో డ్రిఫ్ట్ ఇంటిగ్రేషన్లను తిరిగి కనెక్ట్ చేస్తోంది
- అనుమానాస్పద ప్రశ్నలు మరియు సంభావ్య డేటా బహిర్గతం కోసం లాగ్లను సమీక్షిస్తోంది
- ప్రభావాన్ని నిర్ణయించడానికి లోతైన పరిశోధనలు చేయడం
API కీల ద్వారా డ్రిఫ్ట్ కనెక్షన్లను నిర్వహించే సంస్థలకు, ప్రోయాక్టివ్ కీ రొటేషన్ గట్టిగా సిఫార్సు చేయబడింది. అయితే, OAuth ఇంటిగ్రేషన్లను ఇప్పటికే సేల్స్లాఫ్ట్ నేరుగా పరిష్కరిస్తోంది.
ఫైనల్ టేకావే
ఈ ప్రచారం SaaS పర్యావరణ వ్యవస్థలలో మూడవ పక్ష అనుసంధానాల పెరుగుతున్న ప్రమాదాలను హైలైట్ చేస్తుంది. దొంగిలించబడిన OAuth టోకెన్లను దుర్వినియోగం చేయడం ద్వారా, UNC6395 లక్ష్యంగా, రహస్యంగా మరియు సరఫరా గొలుసు-ఆధారిత కార్యకలాపాలను నిర్వహించే సామర్థ్యాన్ని ప్రదర్శించింది. క్లౌడ్ ఆధారిత ప్లాట్ఫారమ్లు శక్తివంతమైనవి అయినప్పటికీ, డిజిటల్ సరఫరా గొలుసు అంతటా విశ్వసనీయ సంబంధాలను దోపిడీ చేయడానికి ప్రయత్నిస్తున్న బెదిరింపు నటులకు ప్రధాన లక్ష్యాలుగా ఉన్నాయని ఈ కార్యక్రమం గుర్తు చేస్తుంది.
