Firme iz oblasti sajber bezbjednosti Proofpoint, SpyCloud, Tanium i Tenable potvrdile su da su informacije u njihovim Salesforce instancama kompromitovane u okviru nedavnog Salesforce–Salesloft Drift napada.
Kampanja je javno otkrivena 26. avgusta, kada je Google-ov tim za obavještajnu analizu prijetnji saopštio da je haker, označen kao UNC6395, izvozio velike količine podataka koristeći kompromitovane OAuth tokene trećeg AI chatbota Salesloft Drift.
Prema Google-u, hakeri su iskoristili Salesforce–Salesloft Drift integraciju kako bi ukrali podatke stotina organizacija, uključujući osjetljive informacije poput AWS pristupnih ključeva, lozinki i tokena vezanih za Snowflake.
U početku se vjerovalo da su pogođene samo organizacije koje koriste Drift integraciju, ali je kasnije otkriveno da je kampanja pogodila i druge Salesforce korisnike.
Dana 28. avgusta, Google je otkrio da su pogođeni i Workspace korisnici, a ubrzo nakon toga i bezbjednosne kompanije Cloudflare, Palo Alto Networks i Zscaler potvrdile su da su pretrpjele štetu.
Ukupno, procjenjuje se da je napad pogodio preko 700 organizacija, a Proofpoint, SpyCloud, Tanium i Tenable su među onima koje su potvrdile da su kompromitovane.
Proofpoint je otkrio da su napadači pristupili njegovom Salesforce tenant-u kroz kompromitovanu Drift integraciju i da su imali uvid u određene informacije koje su bile pohranjene u njemu.
„U ovom trenutku nema dokaza da je ovaj incident u lancu snabdijevanja uticao na softver, usluge, bezbjednosne proizvode, podatke korisnika ili internu mrežu kompanije“, naveli su iz Proofpoint-a.
SpyCloud, koji je ranije bio korisnik Salesloft Drift-a, saopštio je da su kompromitovana standardna polja vezana za upravljanje odnosima s klijentima (CRM).
„Ne vjeruje se da su podaci potrošača kompromitovani. Naše klijente smo prošle sedmice obavijestili da su podaci u vezi sa njihovim odnosom sa SpyCloud-om izloženi kroz ovaj Salesloft Drift incident“, navela je kompanija.
Tanium je potvrdio da su napadači iskoristili Salesloft Drift integraciju da bi pristupili podacima u njegovoj Salesforce instanci, te da su kompromitovane informacije poput imena, email adresa, brojeva telefona i referenci na regiju/lokaciju.
„Možemo definitivno potvrditi da je neovlašćeni pristup bio ograničen samo na naše Salesforce podatke i da nije bilo pristupa Tanium platformi ili bilo kojim drugim internim sistemima ili resursima“, saopštila je kompanija.
Tenable je otkrio da su kompromitovane informacije iz korisničkih zahtjeva za podršku, uključujući naslove, početne opise i poslovne kontakt podatke poput imena, brojeva telefona, poslovnih email adresa i referenci na regiju/lokaciju.
Kompanija je takođe navela da nema dokaza da su ukradene informacije zloupotrijebljene, dodajući da je preduzela sve potrebne mjere da riješi problem, uključujući rotaciju akreditiva, uklanjanje aplikacije, obezbjeđivanje sistema i kontinuirano nadgledanje Salesforce instance.
Izvor: SecurityWeek
