Ayrı açıklamalarda, Cloudflare Inc. ve Proofpoint Inc. Salı günü Salesloft Drift ile bağlantılı Ağustos tedarik zinciri saldırılarından etkilendiklerini söyledi.
Açıklamalar, bir tehdit oyuncusunun yüzlerce şirketteki Salesforce örneklerine erişmek için Salesloft Drift AI Chatbot ile bağlantılı uzlaşmış kimlik bilgilerini kullandığı bir saldırı dalgasındaki en sonuncuyu işaret ediyor.
Cloudflare, dış saldırganın Salesforce örneklerinde destek vakalarının metin alanlarına erişim sağladığı olayın geçen haftasında bilgilendirildiğini söyledi. Bir blog gönderisine göre Salı günü yayınlandı.
Çok daha büyük bir tedarik zinciri saldırısının parçası olmasına rağmen, şirket ihlal için tam sorumluluk aldı ve bir özür yayınladı.
Blog yazısında şirket yöneticileri, “İşimizi desteklemek için kullandığımız araçlardan sorumluyuz” dedi. “Bunun için içtenlikle özür dileriz.”
Olaylar açıklamaları takip eder: Palo Alto Networks ve Zscaler Müşteri Salesforce ortamlarının tedarik zinciri saldırısından etkilenmesi.
Blog yazısına göre, 9 Ağustos’ta ilk kez keşif faaliyetleri yaptıktan sonra, saldırgan 13 Ağustos ve 17 Ağustos tarihleri arasında şirketin Salesforce Kiracından verileri çaldı. Cloudflare, bir destek vakası, konu satırları ve gerçek vaka yazışmaları ile ilgili iletişim bilgilerini içeren “pozlama Salesforce vaka nesneleriyle sınırlı” dedi.
Şirket, jetonlar ve şifreler için tehlikeye atılan verilerden bir arama yaptıktan sonra 104 Cloudflare API jetonu bulduğunu söyledi. Jetonlarla bağlantılı şüpheli bir etkinlik yoktur, ancak Cloudflare hepsini bir önlem olarak döndürür.
Ayrıca, verilerinden ödün verilmiş olup olmadığını müşterilere bildirdi. Şirket, ihlal nedeniyle hiçbir bulutflare hizmeti veya altyapısından ödün verilmediğini söyledi.
Cloudflare, müşterilerden bu destek etkileşimleri sırasında sırlar, kimlik bilgileri veya API anahtarları gibi gizli bilgileri paylaşmalarını istemediğini söyledi; Ancak, bazı sorun giderme davalarında gizli bilgiler bazen aktarılabilir.
Cloudflare, tehdit oyuncunun erişimini kaldırmak için sürüklenme entegrasyonunu devre dışı bıraktı ve blog yazısına göre adli bir analiz başlattı. Şirket ayrıca Salesforce ile üçüncü taraf entegrasyonları ve tüm üçüncü taraf internet hizmetleri ve hesapları için döndürülmüş kimlik bilgilerini ayırdı.
Proofpoint, bilgisayar korsanlarının Salesforce Kiracısına eriştiğini ve örneğinde depolanan bilgileri görüntüleyebildiğini söyledi, Bir blog gönderisine göre. Şirket, herhangi bir bilginin hassas verilerin yanlış kullanıldığını veya erişildiğini öğrenirse müşterilerle iletişime geçeceğini söyledi.
Proofpoint de sürüklenme uygulamasını devre dışı bıraktığını ve Salesforce ortamından kaldırdığını söyledi.
Proofpoint, saldırıların yazılımını, hizmetlerini, dahili ağını veya müşteri korumalı verilerini etkilediğine dair bir kanıt olmadığını söyledi.
Bu arada Okta, çalıntı jetonları kullanarak Salesforce ortamına erişme girişimlerini engelleyebildiğini söyledi. Şirket, gelen IP kısıtlamalarının uygulanması nedeniyle saldırıyı engelleyebildiğini iddia ediyor, Bir blog gönderisine göre Salı günü yayınlandı.