Gyakorlatban is veszélyes a MI-alapú integráció
Az elmúlt hetekben súlyos adatlopási hullám borzolta fel a Salesforce és más nagyvállalati szolgáltatók ügyfeleinek kedélyeit. Fontos megjegyezni, hogy a támadók a Salesloft nevű értékesítésautomatizációs platform MI-chat integrációján keresztül szereztek hozzáférést a Salesforce-fiókokhoz. Ehhez az úgynevezett Drift chatagentet csatolták a Salesforce rendszereihez, amely lehetővé tette a beszélgetések, leadek és támogatási esetek automatikus CRM-be mentését – csakhogy ez egy rossz szándékú külső fél számára is kaput nyitott.
Hogyan történt az adatlopás?
A támadók 2025. augusztus 8. és 18. között lopták el a Drift–Salesforce integrációhoz tartozó OAuth- és frissítő tokeneket. Céljuk kifejezetten érzékeny információk, például AWS-hozzáférési kulcsok, jelszavak, illetve Snowflake-hez kapcsolódó adatok megszerzése volt. Ennek ellenére a vizsgálat szerint azok a Salesloft-ügyfelek, akik nem használják ezt a konkrét integrációt, nem érintettek, és jelenleg nincs bizonyíték arra, hogy a káros tevékenység folytatódna.
A Salesforce és a Salesloft együttműködve minden aktív hozzáférési és frissítő tokent visszavont, az érintett ügyfeleket pedig arra kérte, hogy hitelesítsék újra a fiókjaikat. Az adminisztrátoroknak a beállításokban le kell választaniuk, majd újra kell csatlakoztatniuk az integrációt érvényes Salesforce-azonosítóval.
A támadók módszerei és a védekezés
A Google fenyegetéselemző csapata (Mandiant) UNC6395 néven azonosította a támadókat, akik a rendszerbe bejutva SOQL-lekérdezésekkel gyűjtötték ki a támogatási esetekből a tokeneket, jelszavakat és egyéb bizalmas adatokat, így további platformokat is elérhettek. A támadók a nyomok eltüntetése érdekében a Tor hálózatot, valamint AWS és DigitalOcean szolgáltatókat is használtak. A felhasznált user-agent stringek között szerepelt a python-requests/2.32.4 és a Salesforce-CLI/1.0 is.
A Google közzétett egy listát a kérdéses IP-címekről és user-agentekről, hogy az adminisztrátorok visszamenőleg ellenőrizhessék naplóikat. Ajánlják továbbá a kulcsok cseréjét, valamint az olyan objektumok átvizsgálását, amelyek AWS- vagy Snowflake-azonosítókat, titkos adatokat, illetve szervezetre jellemző bejelentkezési URL-eket tartalmazhatnak.
ShinyHunters és a zsaroláshullám új dimenziója
A támadások hátterében felbukkant a hírhedt ShinyHunters csoport is, amelyet gyakran összefüggésbe hoznak a Scattered Spider néven ismert támadókkal. Így nemcsak adatlopásra, hanem tömeges zsarolásra, sőt, ügyfelek további felhőszolgáltatásainak feltörésére is sor került. A támadók telefonos adathalászattal (vishing) vették rá a cégek dolgozóit, hogy engedélyezzenek rosszindulatú alkalmazásokat a Salesforce-ban; ezután az egész CRM-adatbázist letöltötték, majd e-mailben követeltek pénzt.
2024 júniusa óta számos vállalat – köztük nagy márkák és LVMH-leányvállalatok – esett áldozatul hasonló támadásoknak. Az ellopott adatokat a hackerek már nem csupán a cégek zsarolására használják fel, hanem újabb áldozatok infrastruktúráinak feltöréséhez is.
Fordulatok és bizonytalanság a felelősök körül
Bár a támadás részletei alapján a ShinyHunters magára vállalta az akciót, a Google fenyegetéselemző csapata mindeddig nem talált erre bizonyítékot. Az ügy tehát tovább bonyolódik, miközben minden érintettnek újra kell gondolnia a védekezést a MI-integrációk korszakában.
