Zscaler предупреждает о утечке данных после того, как злоумышленники получили доступ к её инстансу Salesforce и похитили информацию о клиентах, включая содержимое support cases.
Эта атака связана с компрометацией Salesloft Drift, AI-чат-агента, интегрированного с Salesforce. Злоумышленники украли OAuth и refresh токены, что позволило им получить доступ к Salesforce-окружениям клиентов и похищать конфиденциальные данные.
Компания подчёркивает, что утечка затронула только Salesforce-инстанс, а продукты, сервисы и инфраструктура Zscaler не пострадали.
Zscaler заявила:
Злоумышленники использовали украденные OAuth токены для доступа к аккаунтам Google Workspace и чтения почты. В ответ Google и Salesforce временно отключили интеграции Drift до завершения расследования.
С начала года атаки затронули ряд компаний, включая Google, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life, а также дочерние компании LVMH — Louis Vuitton, Dior и Tiffany & Co.
Источник
Эта атака связана с компрометацией Salesloft Drift, AI-чат-агента, интегрированного с Salesforce. Злоумышленники украли OAuth и refresh токены, что позволило им получить доступ к Salesforce-окружениям клиентов и похищать конфиденциальные данные.
Что произошло
В официальном уведомлении Zscaler сообщается, что её Salesforce-инстанс пострадал от атаки цепочки поставок, в результате чего была раскрыта информация клиентов."В рамках этой кампании неавторизованные лица получили доступ к учетным данным Salesloft Drift клиентов, включая Zscaler", — говорится в уведомлении.
"После детального анализа мы определили, что эти учетные данные позволили ограниченный доступ к некоторой информации Zscaler в Salesforce."
Раскрытые данные
Среди утекшей информации:- Имена сотрудников
- Деловые email-адреса
- Должности
- Контактные телефоны
- Регион/местоположение
- Лицензии на продукты Zscaler и коммерческая информация
- Содержимое некоторых support cases
Компания подчёркивает, что утечка затронула только Salesforce-инстанс, а продукты, сервисы и инфраструктура Zscaler не пострадали.
Меры реагирования
Zscaler заявила:
- Отозвала все интеграции Salesloft Drift с Salesforce
- Ротация других API-токенов
- Проведение расследования инцидента
- Усиление протоколов аутентификации клиентов при обращении в поддержку, чтобы предотвратить социальную инженерию
Подробности от Google Threat Intelligence
По данным Google Threat Intelligence, за атаками стоит угроза UNC6395, которая целится в support cases, чтобы похищать:- OAuth токены
- Пароли
- Секретные ключи и токены доступа (например, AWS AKIA и Snowflake)
"UNC6395 демонстрирует понимание безопасной работы, удаляя query jobs, однако логи не пострадали. Организациям рекомендуется проверять логи на признаки утечки данных", — сообщает Google.
Расширение атаки
Компрометация Salesloft затронула не только Drift Salesforce, но и Drift Email, который управляет письмами и CRM/маркетинговыми базами.Злоумышленники использовали украденные OAuth токены для доступа к аккаунтам Google Workspace и чтения почты. В ответ Google и Salesforce временно отключили интеграции Drift до завершения расследования.
Социальная инженерия и вымогательство
Эксперты связывают инцидент с недавними атаками ShinyHunters, направленными на Salesforce:- Злоумышленники проводят voice phishing (vishing)
- Сотрудников убеждают подключить вредоносное OAuth-приложение к Salesforce
- Через подключение загружаются и похищаются базы данных
- Полученные данные используются для вымогательства по email
С начала года атаки затронули ряд компаний, включая Google, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life, а также дочерние компании LVMH — Louis Vuitton, Dior и Tiffany & Co.
Источник