Google je saopštio da su hakeri sistematski izvozili korporativne podatke, fokusirajući se na tajne poput AWS i Snowflake ključeva.
Hakeri su ukrali podatke iz stotina Salesforce instanci korisnika u širokoj kampanji ranije ovog mjeseca, upozorila je Google Threat Intelligence Group (GTIG).
Napadi nisu koristili ranjivost u samoj Salesforce platformi, već su se oslanjali na kompromitovane OAuth tokene za Salesloft Drift, treći AI chatbot.
Kampanju je, prema GTIG-u, izveo haker UNC6395 između 8. i 18. avgusta 2025. godine.
„Haker je sistematski izvozio velike količine podataka iz brojnih korporativnih Salesforce instanci. GTIG procjenjuje da je primarna namjera hakera bila prikupljanje akreditiva“, navodi obavještajna jedinica Google-a.
UNC6395 je u ukradenim podacima tražio osjetljive informacije i tajne, uključujući AWS pristupne ključeve, lozinke i Snowflake tokene za pristup.
„Haker je koristio python alat za automatizaciju procesa krađe podataka za svaku organizaciju koja je bila meta“, izjavio je GTIG glavni analitičar prijetnji Ostin Larsen za SecurityWeek.
Salesloft, koji je podijelio indikatore kompromitacije (IOC) kako bi pomogao organizacijama da otkriju moguće incidente, naglasio je da su pogođene samo one kompanije koje su integrisale Drift sa Salesforce-om.
U saradnji sa Salesforce-om, Salesloft je 20. avgusta opozvao tokene za Drift. Time je sve Drift-Salesforce konekcije potrebno ponovo autentifikovati kako bi integracija bila ponovo aktivna.
„Utvrdili smo da ovaj incident nije pogodio korisnike koji nisu koristili našu Drift-Salesforce integraciju. Na osnovu naše istrage, ne vidimo dokaze o daljoj malicioznoj aktivnosti vezanoj za ovaj incident“, poručili su iz Salesloft-a u utorak.
Prema GTIG-u, stotine organizacija su bile kompromitovane ovim napadima, ali Salesforce, koji je uklonio Drift sa AppExchange-a, tvrdi da su hakeri pristupili samo manjem broju korisničkih instanci preko Drift konekcije i da su svi pogođeni korisnici obaviješteni.
Organizacije koje koriste Drift-Salesforce integraciju trebalo bi da smatraju svoje Salesforce podatke kompromitovanim, upozorava GTIG, savjetujući im da traže znake kompromitacije i rotiraju sve akreditive i tajne unutar Salesforce objekata.
„UNC6395 je pokazao svijest o operativnoj bezbjednosti brisanjem query poslova, ali logovi nisu bili obrisani i organizacije bi ipak trebalo da pregledaju relevantne logove radi potencijalne eksfiltracije podataka“, navodi GTIG.
Izvor: SecurityWeek