Siber güvenlik şirketi Zscaler, tehdit aktörlerinin Salesforce örneğine erişim kazandıktan ve destek vakalarının içeriği de dahil olmak üzere müşteri bilgilerini çaldıktan sonra veri ihlali yaşadığı konusunda uyarıyor.
Bu uyarı, saldırganların OAuth ve yenileme jetonlarını çaldığı ve müşteri Salesforce ortamlarına erişmelerini ve hassas verileri söndürmelerini sağlayan Salesforce ile bütünleşen bir AI sohbet acentesi olan Salesloft Drift’in uzlaşmasını izler.
Bir danışmanlıkta Zscaler, Salesforce örneğinin bu tedarik zinciri saldırısından etkilendiğini ve müşterilerin bilgilerini ortaya çıkardığını söylüyor.
Zscaler’ın danışmanlığı, “Bu kampanyanın bir parçası olarak, yetkisiz aktörler Zscaler dahil olmak üzere müşterilerinin Salesloft Drift kimlik bilgilerine erişim sağladı.”
“Devam eden soruşturmamızın bir parçası olarak ayrıntılı bir incelemenin ardından, bu kimlik bilgilerinin bazı Zscaler’ın Salesforce bilgilerine sınırlı erişime izin verdiğini belirledik.”
Maruz kalan bilgiler aşağıdakileri içerir:
- İsimler
- İş E -posta Adresleri
- İş başlıkları
- Telefon numaraları
- Bölgesel/Konum Ayrıntıları
- Zscaler ürün lisanslama ve ticari bilgiler
- Belirli destek durumlarından içerik
Şirket, veri ihlalinin yalnızca Salesforce örneğini etkilediğini ve zscaler ürünlerini, hizmetlerini veya altyapısını etkilemediğini vurgulamaktadır.
Zscaler, bu bilgilerin kötüye kullanılmadığını tespit etmediğini belirtirken, müşterilerin bu bilgileri kullanabilecek potansiyel kimlik avı ve sosyal mühendislik saldırılarına karşı uyanık kalmasını önermektedir.
Şirket ayrıca Salesforce örneğine tüm Salesloft Drift entegrasyonlarını iptal ettiğini, diğer API jetonlarını döndürdüğünü ve olaya soruşturma yürüttüğünü söyledi.
Zscaler, sosyal mühendislik saldırılarına karşı korunmak için müşteri destek çağrılarına yanıt verirken müşteri kimlik doğrulama protokolünü de güçlendirdi.
Google Tehdit İstihbaratı geçen hafta UNC6395 olarak izlenen bir tehdit aktörünün saldırıların arkasında olduğu, destek talep ederken müşteriler tarafından paylaşılan kimlik doğrulama belirteçlerini, şifreleri ve sırları hasat etmek için destek vakalarını çaldığı konusunda uyardı.
Google, “GTIG, UNC6395’i Amazon Web Services (AWS) Erişim Anahtarları (AKIA), parolalar ve kar tanesi ile ilgili erişim belirteçleri gibi hassas kimlik bilgilerini hedefleyen gözlemledi.”
“UNC6395, sorgu işlerini silerek operasyonel güvenlik bilincini gösterdi, ancak günlükler etkilenmedi ve kuruluşlar veri maruz kalma kanıtı için ilgili günlükleri hala gözden geçirmelidir.”
Daha sonra Salesloft tedarik zinciri saldırısının sadece Drift Salesforce entegrasyonunu değil, aynı zamanda e-posta yanıtlarını yönetmek ve CRM ve pazarlama otomasyon veritabanlarını düzenlemek için kullanılan Drift e-postasını da etkilediği ortaya çıktı.
Google, geçen hafta saldırganların Google Workspace e -posta hesaplarına erişmek ve bu ihlalin bir parçası olarak e -postaları okumak için çalıntı OAuth jetonlarını kullandıkları konusunda uyardı.
Google ve Salesforce, soruşturmanın tamamlanmasını bekleyen sürüklenme entegrasyonlarını geçici olarak devre dışı bırakmıştır.
Bazı araştırmacılar, BleepingComputer’a Salesloft Drift uzlaşmasının Shinyhunters gasp grubunun son Salesforce veri hırsızlığı saldırılarıyla örtüştüğüne inandıklarını söylediler.
Yılın başından bu yana, tehdit aktörleri Salesforce örneklerini ihlal etmek ve veri indirmek için sosyal mühendislik saldırıları yürütüyor.
Bu saldırılar sırasında, tehdit aktörleri çalışanları kötü niyetli bir OAuth uygulamasını şirketlerinin Salesforce örnekleriyle bağlamaya yönelik ses kimlik avı (vishing) yürütüyor.
Bağlanttıktan sonra, tehdit aktörleri bağlantıyı veritabanlarını indirmek ve çalmak için kullandılar, bu da şirketi e -posta yoluyla zorlamak için kullanıldı.
Google Haziran ayındaki saldırıları ilk bildirdiğinden beri, Google’ın kendisi, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life ve LVMH yan kuruluşları Louis Vuitton, Dior ve Tiffany & Co.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.