A Cloudflare is megjárta a legújabb MI-vezérelt adatszivárgást

Az internetes óriás, a Cloudflare is áldozatul esett egy összetett ellátási lánc-támadásnak, amely a Salesloft és a Drift rendszerein keresztül valósult meg. A támadók sikeresen hozzáfértek a vállalat Salesforce ügyféltámogatási rendszeréhez, és így 104 API tokent is megszereztek, amelyek a Cloudflare platformhoz tartoztak. A vállalat augusztus 23-án értesült a behatolásról, majd szeptember 2-án tájékoztatta az érintett ügyfeleket. Mind a 104 ellopott tokent még időben letiltotta, így egyelőre nem észlelték, hogy ezekkel visszaéltek volna.

Mit loptak el a támadók?

A kibervizsgálat alapján a támadóknak sikerült letölteniük augusztus 12. és 17. között minden szöveges tartalmat a Salesforce ügyféltámogatási eseteiből. Ide tartoztak az ügyfelek által beküldött támogatási jegyek, azok tárgysorai, tartalmai – melyekben akár jelszavak, naplók vagy hozzáférési kulcsok is szerepelhettek –, illetve kapcsolattartási adatok, mint cégnév, e-mail-cím, telefonszám, domain, ország. Az ügyfélnél található összes, a Cloudflare támogatási rendszeren keresztül megosztott adat most potenciális kockázatot jelent. Az ajánlás egyértelmű: minden, itt keresztül megosztott hitelesítő adatot haladéktalanul le kell cserélni.

Nagyobb támadássorozat része

A ShinyHunters nevű zsarolócsoport idén látványos támadáshullámot indított el, céljuk a vállalati Salesforce rendszerek kompromittálása, például hangalapú adathalász (vishing) eszközökkel. Ezzel futószalagon szerezték meg az ügyféladatbázisokat, amelyeket aztán pénzért próbálnak visszazsarolni. A Salesloft ellátási láncán keresztül több száz vállalat érintett lett, a támadók pedig főként a megszerzett elérhetőségek, hozzáférési kulcsok és jelszavak későbbi célzott támadásokhoz való felhasználását tervezik.

Nagy veszteségek, fokozódó fenyegetés

A Palo Alto Networks például szintén érintett volt, bár csak a Salesforce ügyféltámogatási rendszerük sérült, nem pedig a termékeik vagy szolgáltatásaik. A támadók kifejezetten olyan kulcsszavakra kerestek, mint az AWS-hozzáférési kulcsok, VPN-, SSO-belépési adatok vagy Snowflake tokenek (Snowflake), amelyekkel további szolgáltatásokat törhetnek fel. Idén egyébként drámaian nőtt a feltört jelszavak aránya is: 46% körülire, ami közel duplája a tavalyi 25%-nak.

2025, adrienne, www.bleepingcomputer.com alapján