Zscaler, firma zajmująca się bezpieczeństwem cybernetycznym, wydała ostrzeżenie dotyczące naruszenia danych wpływających na jego klientów. Naruszenie wynikało z kompromisu instancji Salesforce po ataku łańcucha podaży ukierunkowanego na dryf Salesloft. Atakujący uzyskali dostęp do tokenów OAuth i odświeżania, które ułatwiły nieautoryzowany dostęp do środowiska Salesforce Zscaler i exfiltation of wrażliwych danych klientów.
Doradztwo ZSCaler stwierdza, że kompromis SalesLoft Drift, agent czatu AI zintegrowany z Salesforce, doprowadził do ekspozycji. Atakerzy wykorzystali skradzione OAuth i odświeżli tokeny, aby uzyskać dostęp do środowisk sprzedaży klientów. Oświadczenie ZSCaler podkreśla, że „nieautoryzowani aktorzy uzyskali dostęp do dryfu Salesloft dryfu swoich klientów, w tym ZSCaler”, zauważając ponadto, że te poświadczenia „umożliwiły ograniczony dostęp do informacji Salesforce niektórych Zscaler”.
Dane ujawnione w naruszeniu obejmują szereg informacji o klientach. Obejmuje to nazwy, biznesowe adresy e -mail, tytuły zadań, numery telefonów, szczegóły regionalne lub lokalizacji oraz licencjonowanie produktu ZSCaler i informacje komercyjne. Naruszenie ujawniło również treść z niektórych przypadków wsparcia. Zscaler podkreślił, że incydent został odizolowany do instancji Salesforce i nie wpłynął na żadne produkty, usługi lub infrastrukturę ZSCALER.
Podczas gdy Zscaler nie wykrył niewłaściwego użycia wyczerpanych danych, firma wzywa klientów do zachowania ostrożności. Klienci powinni zachować czujność przed potencjalnymi atakami phishingowymi i inżynierii społecznej, które mogłyby wykorzystać ujawnione informacje. Jako środek ostrożności Zscaler cofnął wszystkie integracje Salesloft Drift z instancją Salesforce i obrócił inne tokeny API. Obecnie trwa wewnętrzne dochodzenie w sprawie incydentu. Aby jeszcze bardziej ograniczyć ryzyko, ZsCaler poprawił swój protokół uwierzytelniania klientów w celu wsparcia, aby zapobiec próbom inżynierii społecznej.
Google Threat Intelligence zidentyfikował UNC6395 jako aktor zagrożenia atakami. Ten aktor jest znany z ukierunkowania na wrażliwe poświadczenia, w tym kluczy dostępu Amazon Web Services (AWS) (AKIA), haseł i tokenów dostępu związanych z płatkiem śniegu. Raport Google wskazał, że „GTIG zaobserwowano UNC6395 ukierunkowane na wrażliwe poświadczenia, takie jak klucze dostępu Amazon Web Services (AWS) (AKIA), hasła i tokeny dostępu powiązane z płatkiem śniegu”. W raporcie wspomniano również, że „UNC6395 wykazał świadomość bezpieczeństwa operacyjnego poprzez usunięcie zadań zapytania; jednak dzienniki nie miały wpływu, a organizacje powinny nadal przeglądać odpowiednie dzienniki pod kątem dowodów narażenia na dane”.
Atak łańcucha podaży SalesLoft wykraczał poza integrację Salesforce Drift. Wpłynęło to również na Drift E -mail, narzędzie używane do zarządzania odpowiedziami e -mail i organizowania baz danych CRM i automatyzacji marketingu. Podobno atakujący wykorzystali skradzione tokeny OAuth, aby uzyskać dostęp do konta e -mail Google Workspace i odczytane e -maile. Ten szerszy wpływ skłoniła Google i Salesforce do tymczasowego wyłączenia integracji dryfu w oczekiwaniu na zakończenie trwającego dochodzenia.
Niektórzy badacze zasugerowali potencjalny związek między kompromisem Salesloft Drift a ostatnimi atakami kradzieży danych Salesforce przypisanych grupie Exportion ShinyHunters. Szczegółowe szczegóły tego połączenia są nadal badane, a potrzebne są dalsze informacje, aby potwierdzić wszelkie bezpośrednie powiązania między tymi incydentami.
