Üçüncü taraf bir uygulama aracılığıyla tehlikeye atılmış OAuth jetonları, bilinmeyen bir tehdit oyuncusu tarafından Salesforce Müşteri İlişkileri Yönetimi (CRM) platformunun örneklerine yönelik büyük ölçekli veri baskınlarıyla sonuçlanmıştır.
Salesforce örneklerinden kullanıcı verilerini almak için sorgu
Küstah
Üçüncü taraf uygulaması, Amaçlı Yapay Zeka (AI) kullanan bir gelir düzenleme platformu olarak tanımlanan Salesloft Drift’tir.
Salesloft, 8 Ağustos’ta başlayan veri ihlalini kabul etti ve tüm etkilenen müşterileri bilgilendirdiğini söyledi.
UNC (kategorize edilmemiş) 6395 olarak izlenen tehdit oyuncusu, Müşteri Salesforce örneklerinden verileri dışarı atmak için Salesloft’tan OAuth jetonlarını nasıl elde ettiği ayrıntılı değildi.
Salesloft, olayı araştırmak için üçüncü taraf bir dijital adli tıp ve olay müdahale ekibi ile uğraştığını ve tüm müşterilere kendi ortamlarındaki saldırgan eylemleri hakkında ayrıntılı bilgi sağlamak için Salesforce ile işbirliği içinde çalıştığını söyledi.
Olayı analiz ederek, Google’ın Tehdit İstihbarat Grubu (GTIG) ve şirket içi maniant güvenlik ekibi ” [threat] Aktör sistematik olarak çok sayıda kurumsal Salesforce örneğinden büyük miktarda veri ihraç etti “.
GTIG ve Mantiant ne kadar veri eklendiğini ve hangi müşterilerin hangi müşterileri söylemediğini söylemediler; Tehdit oyuncusu tarafından yapılan sorgular, Salesforce nesnelerinden kayıt sayıları almaya odaklandı, bunu e -posta adresi, giriş tarihleri ve iletişim bilgileri gibi diğer kullanıcı verileri izledi.
Amazon Web Services Akia Access Anahtar Tanımlayıcılar, Kar Tanesi Oturum Açmaları ve Şifreler ve Diğer Kimlik Bilgileri gibi sırlar saldırganlar tarafından hedeflendiğini, UNC6395’in onlar için sorguları sildiğini ve yine de günlüğe kaydedilmiş ve kanıt olarak mevcut olduğunu söyledi.
Tüm aktif Salesloft erişim belirteçleri, sürüklenme uygulaması için iptal edildi ve yenilendi ve yöneticilerin üçüncü taraf uygulama entegrasyonunu yeniden ifade etmek için Salesforce ile yeniden taahhüt etmeleri gerekiyor.
Salesforce, Salesloft Drift’i bir soruşturmayı bekleyen AppExchange’den de kaldırdı.
Açık Yetkilendirme Protokolü jetonları, üçüncü taraf uygulamaların parola gerekmeden hizmetler hakkındaki verilere erişmesine izin verir.
GTIG ve Mantiant saldırıları belirli bir organizasyona bağlamadı, ancak Birleşik Devletler Medyası Shinyhunters/Dağınık Örümcek Tehdit Oyuncularının Salesloft saldırıları için sorumluluk aldığını bildirdi.
Shinyhunters, son birkaç yıldır Salesforce örneklerine aktif olarak saldırıyor ve kuruluşları Bitcoin kripto para birimindeki veriler için fidye ödemeye zorladı.
Bu yıl Haziran ayında bildirilen ve Ağustos ayının başlarına kadar devam eden GTIG, UNC6040/6240 olarak izlenen Shinyhunters’ın bir “Vishing” (sesli kimlik avı) kampanyası konusunda uyardı.
Vishing saldırısı, kullanıcı kimlik bilgileri elde etmek için sosyal mühendislik kullanıyor ve tehdit oyuncusuna “tehlikeye atılan Salesforce müşteri örneklerinden hassas bilgilere erişmek, sorgulamak ve sunmak için önemli yetenekler” dedi.
GTIG, Vishing sırasında personel, Salesforce’un Veri Yükleyici Veri içe aktarma/dışa aktarma uygulamasının kötü niyetli bir sürümünü OAuth ile kurbanların ortamlarına bağlamak için kandırıldı.
Google’ın kurumsal Salesforce örneği, Ağustos ayı başlarında UNC6040 etkinliği tarafından vuruldu, bu da işletme adları ve iletişim bilgileri gibi bazı verilerle sonuçlandı.