Óriási adatlopás a Salesforce-nál, másfél milliárd adat jutott illetéktelenekhez

Az elmúlt év során a ShinyHunters zsarolócsoport komoly támadássorozatot indított világszerte, és kompromittált Salesloft, valamint Drift OAuth tokeneket kihasználva mintegy 1,5 milliárd Salesforce-nyilvántartást szerzett meg 760 cég adatbázisából. Ezek a hackerek fejlett társadalmi manipulációs technikákat és rosszindulatú, MI-alapú alkalmazásokat vetettek be, hogy behatoljanak a Salesforce rendszerébe, érzékeny információkat gyűjtöttek össze, majd zsarolással próbálták rákényszeríteni a cégeket, hogy milliós váltságdíjat fizessenek.

Drift platform, Salesforce és az adatok célkeresztben

A Drift egy harmadik fél által fejlesztett platform, amely összekapcsolja a Drift MI-chat ügynökét a Salesforce rendszerével, lehetővé téve az ügyfélkommunikációk, leadek és ügyféltámogatási esetek szinkronizálását a CRM-mel. Emellett a Drift Email is a támadások célpontjává vált: ezen keresztül az e-mail válaszok és marketing-automatizációs adatbázisok is veszélybe kerültek. Külön figyelmet érdemel, hogy a hackerek főként az Account (250 millió rekord), Contact (579 millió), Opportunity (171 millió), User (60 millió), valamint Case (459 millió) Salesforce-táblákból lopták el az adatokat. Ezek közé ügyfélszolgálati jegyek és technológiai cégekre vonatkozó, kiemelten érzékeny információk is bekerülhettek.

Zsarolás, folyamatos fenyegetés, pénzügyi intézmények a sorban

A támadók a Drift és Drift Email tokenjeit nagy horderejű adathalász kampányokhoz használták fel, a legnagyobb nemzetközi vállalatokat célozva. Mindezek ellenére a Google Threat Intelligence szerint a Case adatok között titkos kulcsokat, jelszavakat, Amazon Web Services hozzáférési kódokat és Snowflake tokeneket is kerestek, hogy további rendszerekbe juthassanak be. A támadók egy GitHub-forráskódlistát is nyilvánosságra hoztak, ezzel bizonyítva a támadás sikerességét. Bár a szervezetek többsége hallgat a botrányról, egy forrás megerősítette az ellopott adatok mennyiségét.

Kockázatos folyamatok, vészjósló következmények

Az Amerikai Szövetségi Nyomozó Iroda (FBI) és a Google is vizsgálódik az ügyben: a hackerek azt állítják, áttörést értek el a Google bűnüldözési adatigénylő rendszerében (LERS) és az FBI eCheck platformján, bár ezt a Google hivatalosan tagadta. Különösen aggasztó, hogy július óta pénzügyi intézmények is célkeresztbe kerültek, így a fenyegetés szinte globális méretűvé duzzadt.

Megelőzés és összegzés

A szakértők nyomatékosan javasolják a kétfaktoros hitelesítés (MFA) használatát, a legkisebb szükséges jogosultság elvének (least privilege) alkalmazását és a csatlakoztatott alkalmazások gondos kezelését. Összefoglalva: a támadás nemcsak történelmi léptékű, hanem rámutat arra is, hogy a vállalati digitális biztonság sosem volt ennyire sérülékeny.

2025, adminboss, www.bleepingcomputer.com alapján

Share on Social Media