Google Powiadamia Organizacje o Kradzieży Danych Salesforce

Organizacje korzystające z Salesforce mogły stracić wrażliwe dane po tym, jak hakerzy naruszyli zabezpieczenia Salesloft, platformy automatyzacji sprzedaży, która stoi za integracją chatu Drift AI.

Grupa ds. Wywiadu Cyberzagrożeń Google’a (GTIG), wspólnie z Salesloft, zgłosiła, że atak miał miejsce między 8 a 18 sierpnia 2025 roku. Napastnicy, śledzeni jako UNC6395, przeprowadzili naruszenie, korzystając z kradzionych tokenów OAuth i odświeżania z aplikacji Drift, penetrując różne platformy Salesforce.

„Wstępne ustalenia pokazały, że głównym celem aktora było kradzież danych uwierzytelniających, konkretnie skupiając się na wrażliwych informacjach, takich jak klucze dostępu AWS, hasła i tokeny dostępu związane ze Snowflake,” stwierdzono w komunikacie Salesloft stwierdzono.

Napastnicy systematycznie wykonali zapytania na obiektach Salesforce, w tym na Przypadkach, Kontach, Użytkownikach i Szansach.

GTIG zaznaczyło: „UNC6395 wykazało świadomość bezpieczeństwa operacyjnego poprzez usuwanie zadań zapytań, jednak logi nie zostały dotknięte i organizacje powinny nadal przeglądać odpowiednie logi w poszukiwaniu dowodów na naruszenie danych.”

BleepingComputer wyjaśnia, że atakujący ukryli swoją infrastrukturę za pomocą Tor, a także z usług hostingowych w chmurze, takich jak AWS i DigitalOcean.

Odpowiedź Salesloft i Salesforce na środki bezpieczeństwa obejmowała anulowanie wszystkich aktywnych tokenów Drift, a także tymczasowe usunięcie aplikacji z Salesforce AppExchange.

Klienci muszą ponownie uwierzytelnić swoje konta i zmienić swoje dane logowania. Google zaleca organizacjom sprawdzanie obiektów Salesforce pod kątem kluczy AWS, wraz z danymi uwierzytelniającymi Snowflake, hasłami i adresami URL logowania do VPN. Personel administracyjny powinien również wprowadzić blokowanie IP, ograniczyć uprawnienia aplikacji i monitorować aktywność uwierzytelniania.

Podczas gdy niektóre raporty sugerowały powiązania z grupą szantażystów ShinyHunters, Google nie znalazło dowodów na ich połączenie. „Nie widzieliśmy do tej pory żadnych przekonujących dowodów na ich powiązanie,” powiedział Austin Larsen, Główny Analityk Zagrożeń w GTIG.

BleepingComputer argumentuje, że atak jest częścią szerszej fali ataków, w której Salesforce jest celem ataków socjotechnicznych, które zmylają pracowników do autoryzacji niebezpiecznych aplikacji.

Wysokiej rangi organizacje niedawno zgłosiły powiązane naruszenia, w tym Google, Cisco, Adidas i Louis Vuitton.

Organizacje wdrażające integrację Drift-Salesforce powinny traktować swoje dane jako skompromitowane i natychmiast przeprowadzić procedury naprawcze w celu obrony swoich systemów przed dodatkowym kradzieżą.