Sió-Informatika Rendszerház

HÍREK

Palo Alto Networks megerősítette az adatszivárgást: Salesforce környezet érintett a Salesloft Drift ellátási lánc támadásban

Palo Alto Networks Salesforce adatvédelmi incidens

A Palo Alto Networks megerősítette, hogy azon nagyvállalatok között van, amelyeket érintett a Salesloft Drift alkalmazás elleni ellátási lánc támadás. A Drift egy mesterséges intelligenciával támogatott ügyfélkapcsolati és chatbot platform, amely Salesforce-integrációt biztosít.

A támadás mögött a UNC6395 nevű fenyegetési csoport áll, amelyet a Google Threat Intelligence azonosított. A támadók OAuth hitelesítési tokenekkel jutottak be a vállalati Salesforce környezetekbe, és érzékeny üzleti adatokat szivárogtattak ki.

Az incidens idővonala és mértéke

  1. augusztus 8. és 18. között a támadók ellopott vagy kompromittált OAuth tokeneket használtak, amelyek Drift–Salesforce integrációkhoz kapcsolódtak. Ezek révén megkerülték a hagyományos hitelesítési védelmet, és közvetlenül lekérdezhették a Salesforce adatobjektumokat.

A Palo Alto Networks Unit 42 kutatócsoportja, valamint a Google Threat Analysis Group szerint az ellopott adatok között szerepeltek:

  • üzleti kapcsolati adatok (nevek, e-mail címek, telefonszámok),
  • belső értékesítési és lehetőségadatok,
  • támogatási jegyek metaadatai,
  • egyes esetekben ügyfélspecifikus, érzékenyebb rekordok.

Bár a vállalat kiemelte, hogy saját biztonsági termékei nem érintettek, a CRM-adatok szivárgása súlyos kockázatot jelent, mivel ezeket adathalászatra, célzott támadásokra és másodlagos betörésekre használhatják.

Más érintett vállalatok között szerepel a Zscaler és a Google, amelyek szintén engedély nélküli hozzáférést tapasztaltak Salesforce adataikhoz.

A támadás módszertana

A fő technika az OAuth tokenekkel való visszaélés volt – ezek a tokenek széles körben használt delegált hitelesítési eszközök a SaaS ökoszisztémákban.

A támadók az alábbi Salesforce objektumokhoz fértek hozzá:

  • Account,
  • Contact,
  • Case,
  • Opportunity.

A vizsgálatok során azonosított minták:

  • Automatizált adatkiáramlás,
  • Hitelesítési adatok és titkok gyűjtése,
  • Műveleti biztonsági taktikák (például lekérdezések törlése a nyomok elfedésére).

Védekezési lépések és válaszintézkedések

A támadás láncreakció-szerű jellege gyors válaszlépéseket váltott ki:

  • A Palo Alto Networks megszüntette a Drift–Salesforce kapcsolatokat, és Unit 42 vezetésével vizsgálatot indított.
  • A Salesloft és a Salesforce visszavonta az összes Drift integrációs tokent, megszakítva a támadói hozzáférést, és ideiglenesen eltávolította a Driftet az AppExchange piactérről.
  • A Google elemzése szerint a kompromittáció szélesebb körű volt, mint azt először hitték: minden Drifthez kapcsolódó token érintett lehetett.

Ajánlások érintett szervezeteknek:

  • a Salesforce naplók átvizsgálása gyanús lekérdezések után,
  • minden felhőalapú hitelesítő adat azonnali cseréje,
  • Zero Trust alapelvek alkalmazása és a harmadik féltől származó integrációk szigorúbb ellenőrzése.

Párhuzamos támadások és iparági hatások

A Drift-incidens nem egyedülálló. Ezzel párhuzamosan a ShinyHunters (UNC6040) csoport telefonos adathalász (vishing) kampányt folytatott Salesforce-felhasználók ellen.

Az áldozatok közé tartoznak:

  • Google Ads CRM rendszerek (2025 júniusi betörés),
  • luxusmárkák, például LVMH, Chanel, Adidas,
  • pénzügyi intézmények, többek között Allianz Life és Farmers Insurance,
  • TransUnion, ahol 4,4 millió amerikai fogyasztó adatai szivárogtak ki.

Stratégiai tanulságok

Ez az incidens több kulcsfontosságú következtetést mutat:

  1. OAuth tokenekkel való visszaélés az új peremvédelem-megkerülés – a hagyományos bejelentkezési védelem (MFA, IP-szűrés) semmit sem ér, ha a tokenek kompromittálódnak.
  2. CRM adatok mint aranybánya – sokszor titkos adatok kerülnek bejegyzésekbe (pl. jelszavak, kulcsok), amelyek célponttá teszik a CRM-et.
  3. SaaS ellátási lánc kockázat – a harmadik féltől származó integrációk új támadási felületet jelentenek, amelyeket ugyanúgy kell kezelni, mint a szoftverfrissítéseket.
  4. Emberi és technikai támadások kombinációja – UNC6395 automatizált adatlopásai és ShinyHunters vishing kampányai kettős fenyegetést jelentenek.

Palo Alto Networks bemutatása

A Palo Alto Networks egy amerikai, Santa Clara-i székhelyű kiberbiztonsági vállalat. Fő termékei a továbbfejlesztett tűzfalmegoldások és a felhőalapú biztonsági szolgáltatások, amelyek a hálózatokat, felhőkörnyezeteket és biztonsági műveleteket védik.

  • Strata Network Security Platform: mesterséges intelligenciával támogatott Zero Trust alapú biztonsági megoldás, valós idejű fenyegetésfigyeléssel és megelőzéssel.
  • A vállalat több mint 70 000 ügyfelet szolgál ki világszerte, és kulcsszereplő a kiberbiztonsági iparágban.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!