Mikor, mi történt?
Az adatszivárgás főként augusztus 13. és 16. között zajlott, de a támadók már ezt megelőzően is hozzáfértek adatokhoz. A Zscaler hangsúlyozza, hogy az eset csak a Salesforce rendszerüket érintette, a vállalat termékei és szolgáltatásai nem kerültek veszélybe. Bár eddig semmilyen visszaélést nem észleltek, a cég minden érintett ügyfélnek azt javasolja, legyenek óvatosak a phishing- vagy social engineering típusú támadásokkal szemben.
Mit lépett a Zscaler?
A cég minden Salesloft Drift integrációt leállított a Salesforce-ban, lecserélte az API-tokeneket, fokozta az ügyfél-hitelesítési protokollokat, és vizsgálja a történteket. Ezen felül szigorította az ügyfélszolgálati azonosítást is, hogy kiszűrje a social engineering próbálkozásokat.
Kik állnak a háttérben?
A Google Threat Intelligence szerint az UNC6395 nevű csoport áll a támadások mögött. Ezek a hackerek érzékeny hozzáférési adatokat, például Amazon Web Services (AWS) kulcsokat és jelszavakat, illetve különféle titkosító tokeneket próbáltak megszerezni támogatási esetekből. A támadók vishinget (hangalapú adathalászat) is alkalmaztak, hogy becsapják a dolgozókat, és rosszindulatú alkalmazásokat csatlakoztassanak a céges Salesforce-hoz.
Drift, Salesloft: lekapcsolva
A Salesloft incidens nemcsak a Drift Salesforce integrációt, hanem a Drift Email szolgáltatását is érintette. Emiatt a Google és a Salesforce ideiglenesen lekapcsolta a Drift integrációkat, amíg tart a vizsgálat. Több kutató szerint a mostani támadási hullám összefüggésben lehet a ShinyHunters zsarolócsoport akcióival: ők január óta próbálnak adatokat kicsalni a Salesforce-t használó cégektől, hogy azokat később zsarolásra használják fel.
