Kibernetinio saugumo įmonė „Zscaler“ perspėja, kad patyrė duomenų pažeidimą po to, kai grėsmės veikėjai įgijo prieigą prie savo „Salesforce“ egzemplioriaus ir pavogė informaciją apie klientus, įskaitant palaikymo atvejų turinį.
Šis įspėjimas įvyksta po „SalesLoft Drift“ – AI pokalbių agento, integruoto su „Salesforce“, kompromisą, kuriame užpuolikai pavogė „Oauth“ ir „Refresh“ žetonus, leidžiančius jiems patekti į klientų pardavėjų aplinką ir eksfiltrato neskelbtinus duomenis.
Patarime „Zscaler“ sako, kad jos „Salesforce“ egzempliorių paveikė ši tiekimo grandinės ataka, atskleidžianti klientų informaciją.
„Vykdydami šią kampaniją, neteisėti veikėjai įgijo prieigą prie savo klientų, įskaitant„ Zscaler “,„ SalesLoft Drift “kredencialus“, – rašoma „ZSCALER“ patarimas.
„Atlikę išsamią apžvalgą kaip mūsų vykstančio tyrimo dalį, mes nustatėme, kad šie įgaliojimai leido ribotai prieigai prie kai kurių„ Zscaler “„ Salesforce “informacijos.”
Atskleista informacija apima šias:
- Vardai
- Verslo el. Pašto adresai
- Darbo pavadinimai
- Telefono numeriai
- Regioninė/vietos informacija
- „Zscaler“ produktų licencijavimas ir komercinė informacija
- Turinys iš tam tikrų palaikymo atvejų
Bendrovė pabrėžia, kad duomenų pažeidimas daro įtaką tik jos „Salesforce“ egzemplioriui ir nėra „ZScaler“ produktų, paslaugų ar infrastruktūros.
Nors „Zscaler“ teigia, kad ji nenustatė netinkamo šios informacijos naudojimo, ji rekomenduoja klientams budriems nuo galimų sukčiavimo apsimetant ir socialinių inžinerinių atakų, kurios galėtų išnaudoti šią informaciją.
Bendrovė taip pat sako, kad ji panaikino visas „SalesLoft Drift“ integracijas į savo „Salesforce“ egzempliorių, pasuko kitus API žetonus ir atlieka incidento tyrimą.
„Zscaler“ taip pat sustiprino savo klientų autentifikavimo protokolą, kai reaguoja į klientų aptarnavimo skambučius, kad apsaugotų nuo socialinių inžinerinių atakų.
„Google“ grėsmės žvalgyba praėjusią savaitę perspėjo, kad grėsmės aktorius, stebimas kaip UNC6395, yra už išpuolių, pavogė palaikymo atvejus, kad būtų galima nuimti autentifikavimo žetonus, slaptažodžius ir paslaptis, kuriomis dalijasi klientai, kai prašo paramos.
„GTIG stebėjo UNC6395, nukreiptą į neskelbtinus kredencialus, tokius kaip„ Amazon Web Services “(AWS) prieigos raktai (AKIA), slaptažodžiai ir su snaigėmis susijusios prieigos žetonai“,-praneša „Google“.
„UNC6395 pademonstravo operatyvinį saugumo supratimą ištrynus užklausų darbus, tačiau žurnalai neturėjo įtakos, o organizacijos vis tiek turėtų peržiūrėti svarbius žurnalus apie duomenų poveikio įrodymus.”
Vėliau buvo atskleista, kad „SalesLoft“ tiekimo grandinės ataka ne tik paveikė „Drift Salesforce“ integraciją, bet ir „Drift“ el. Pašto adresą, kuris naudojamas tvarkyti atsakymus el. Paštu ir organizuoti CRM bei rinkodaros automatizavimo duomenų bazes.
„Google“ praėjusią savaitę perspėjo, kad užpuolikai taip pat naudojo pavogtus „OAuth“ žetonus, norėdami pasiekti „Google Workspace“ el. Pašto paskyras ir skaitydami el. Laiškus kaip šio pažeidimo dalį.
„Google“ ir „Salesforce“ laikinai išjungė savo dreifo integracijas, kol bus baigta atlikti tyrimą.
Kai kurie tyrėjai „BleepingComputer“ sakė, kad, jų manymu, „SalesLoft Drift“ kompromisas sutampa su naujausiais „Shinyhunters“ turto prievartavimo grupės „Salesforce“ duomenų vagysčių atakomis.
Nuo metų pradžios grėsmės veikėjai vykdė socialinių inžinerinių atakų, kad pažeistų „Salesforce“ egzempliorius ir atsisiųstų duomenis.
Šių išpuolių metu grėsmės aktoriai veda balso sukčiavimo (matymo), norėdami apgauti darbuotojus, susiejant kenksmingą „Oauth“ programą su savo įmonės „Salesforce“ egzemplioriais.
Susiejus, grėsmės veikėjai naudojo ryšį, norėdami atsisiųsti ir pavogti duomenų bazes, kurios vėliau buvo naudojamos įmonei išstumti el. Paštu.
Nuo tada, kai „Google“ pirmą kartą pranešė apie išpuolius birželio mėn., Daugybė duomenų pažeidimų buvo susieti su socialinių inžinerinių atakų, įskaitant patį „Google“, „Cisco“, „Farmers Insurance“, „Workday“, „Adidas“, „Qantas“, „Allianz Life“ ir LVMH dukterinės įmonės Louis Vuitton, Dior ir Tiffany & Co.
46% aplinkos slaptažodžiai buvo nulaužti, beveik padvigubėjo nuo 25% pernai.
Dabar gaukite „Picus Blue Report 2025“, kad galėtumėte išsamiai įvertinti daugiau išvadų apie prevencijos, aptikimo ir duomenų eksfiltravimo tendencijas.
