Spisak pogođenih sajber bezbjednosnih firmi proširen je i sada uključuje BeyondTrust, Bugcrowd, CyberArk, Cato Networks, JFrog i Rubrik.
Hakeri su imali pristup GitHub nalogu kompanije Salesloft između marta i juna 2025. godine, gdje su sprovodili izviđanje u pripremi za veliku kampanju krađe podataka iz Salesforce-Salesloft okruženja.
Do krađe podataka došlo je između 8. i 18. avgusta, kada su napadači iskoristili kompromitovane OAuth tokene za Drift AI chatbot kako bi izvezli velike količine podataka iz Salesforce sistema.
Kampanja, pripisana hakerskoj grupi označenoj kao UNC6395, pogodila je stotine organizacija i bila fokusirana na krađu AWS pristupnih ključeva, lozinki i tokena povezanih sa Snowflake servisima.
U početku se vjerovalo da su pogođeni samo nalozi koji koriste Salesforce-Salesloft Drift integraciju, ali kasnije je otkriveno da su mete bili i drugi entiteti, uključujući korisnike Google Workspace-a.
Napad je rezultirao time da je Salesforce onemogućio Salesloft integraciju, dok je Drift privremeno isključen kako bi se unaprijedila bezbjednost. Integracija Salesforce-Salesloft ponovo je aktivirana 7. septembra.
Međutim, kampanja nije bila posljedica ranjivosti u samom Driftu, saopštio je Salesloft u nedjelju. Umjesto toga, napadači su uspjeli jer su kompromitovali GitHub nalog kompanije pola godine ranije.
„Između marta i juna 2025. godine, haker je imao pristup GitHub nalogu Saleslofta. Sa tim pristupom mogao je da preuzme sadržaj iz više repozitorijuma, doda gost korisnika i uspostavi workflow procese“, naveo je Salesloft.
Istraga, koju je sprovela kompanija Mandiant, otkrila je da su hakeri vršili izviđanje u Salesloft i Drift aplikacionim okruženjima, a zatim pristupili Drift AWS instanci, odakle su izvukli OAuth tokene za integracije korisnika.
„Haker je koristio ukradene OAuth tokene da bi pristupio podacima putem Drift integracija“, saopštio je Salesloft.
Prema kompaniji, napad je sada obuzdan, hakeri su izbačeni iz okruženja, a Mandiant je potvrdio da je incident zatvoren.
Ono što Salesloft ipak nije precizirao jeste broj pogođenih organizacija. Prema ranijim procjenama, pogođeno je oko 700 kompanija.
U sajber industriji, prve kompanije koje su potvrdile uticaj napada bile su Cloudflare, Palo Alto Networks i Zscaler, a ubrzo su im se pridružile i Proofpoint, SpyCloud, Tanium i Tenable.
Spisak pogođenih sajber bezbjednosnih firmi sada je narastao na više od desetak i uključuje BeyondTrust, Bugcrowd, CyberArk, Cato Networks, JFrog, PagerDuty i Rubrik. Kompanija Elastic je navela da je kompromitovan jedan email nalog putem ‘Drift Email’ integracije.
Pored njih, pogođene su i firme Esker, Heap, Megaport, Nutanix, Sigma Computing i Workiva, otkriva Nudge Security. U većini slučajeva kompromitovani Salesforce nalozi sadržali su podatke vezane za korisničke tikete podrške, uključujući poslovne informacije poput imena, email adresa i brojeva telefona.
Izvor: SecurityWeek