A kiberbiztonsági vállalat, a Zscaler bejelentette, hogy adatszivárgás érte, miután támadók hozzáférést szereztek a Salesforce környezetéhez a Salesloft Drift kompromittált hitelesítő adatai révén. A Drift egy mesterséges intelligencia alapú chatügynök, amely Salesforce-integrációt biztosít.
A támadás egy szélesebb körű ellátási lánc kompromittáció része, amely során a fenyegetési szereplők OAuth és frissítő tokeneket loptak el. Ezek a tokenek jogosulatlan hozzáférést biztosítottak Salesforce ügyfélpéldányokhoz, így érzékeny információk kerülhettek ki.
Zscaler közleménye
A vállalat megerősítette, hogy Salesforce-példánya érintett volt:
„A kampány részeként illetéktelen szereplők hozzáférést szereztek a Salesloft Drift ügyfélhitelesítő adataihoz, köztük a Zscaleréhez is. Részletes vizsgálat után megállapítottuk, hogy ezek az adatok korlátozott hozzáférést engedtek bizonyos Salesforce-adatokhoz.”
Érintett adatok
A kompromittált adatok az alábbiakat tartalmazzák:
- ügyfélnevek,
- üzleti e-mail címek,
- beosztások,
- telefonszámok,
- régió/helyszín adatok,
- terméklicencelési és kereskedelmi információk,
- bizonyos ügyféltámogatási esetek tartalma.
A Zscaler hangsúlyozta, hogy az incidens csak a Salesforce rendszerét érintette – a vállalat termékei, infrastruktúrája és szolgáltatásai nem sérültek. Bár visszaélés jelei eddig nem mutatkoztak, a vállalat arra kérte ügyfeleit, legyenek éberek az adathalász és társadalmi manipulációs kísérletekkel szemben.
Meghozott intézkedések
A Zscaler azonnal lépéseket tett a kockázatok csökkentésére:
- minden Salesloft Drift–Salesforce integráció visszavonása,
- API tokenek cseréje,
- ügyfél-azonosítás megerősítése az ügyféltámogatási hívások során a social engineering kockázat mérséklésére.
A vállalat tovább folytatja a vizsgálatot.
UNC6395 kampányhoz köthető
A Google Threat Intelligence szerint a Drift kompromittáció mögött az UNC6395 nevű csoport áll, amely Salesforce támogatási esetekből szerzett adatokat, köztük hitelesítő adatokat, AWS hozzáférési kulcsokat, Snowflake tokeneket és egyéb érzékeny információkat.
Az UNC6395 fejlett taktikát is alkalmazott, például lekérdezési feladatok törlését a tevékenység elrejtésére – bár a naplók megmaradtak a forenzikus vizsgálatokhoz.
A kampány a Drift Salesforce-integrációin túlmutatott:
- a Drift Email szolgáltatás kihasználásával CRM- és marketingautomatizációs adatokhoz fértek hozzá,
- ellopott OAuth tokenekkel Google Workspace fiókokba is bejutottak, vállalati e-mailek elolvasására.
A vizsgálat idejére a Google és a Salesforce egyaránt letiltotta a Drift-integrációkat.
Kapcsolat a ShinyHunters kampánnyal
A biztonsági kutatók szerint az incidens átfedést mutat a ShinyHunters zsaroló csoport Salesforce adatlopási támadásaival, amelyek 2025 eleje óta folyamatosak.
A támadók főként társadalmi manipulációs technikákat alkalmaznak, például vishing (telefonos adathalászat), hogy rávegyék az alkalmazottakat rosszindulatú OAuth-alkalmazások jóváhagyására. Ezek révén hatalmas adatbázisokat szereznek meg, amelyeket zsarolásra használnak.
Június óta a kampányhoz köthető betörések több nagyvállalatot érintettek, köztük: Google, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life, LVMH (Louis Vuitton, Dior, Tiffany & Co.).
Hogyan előzhetők meg a SaaS ellátási lánc támadások?
A kockázatok mérséklésére a szakértők a következő gyakorlatokat javasolják:
- Legkisebb jogosultság elve: a szolgáltatásfiókoknak csak a legszükségesebb adatokhoz legyen hozzáférése.
- Exponált titkok keresése: rendszeresen ellenőrizni kell, nem találhatók-e AWS kulcsok, tokenek, jelszavak a Salesforce sémákban.
- Adathozzáférés kontrollja: ne csak az API jogosultságokra hagyatkozzunk, hanem monitorozzuk és korlátozzuk az objektumok, mezők és rekordok elérését.
- SaaS naplók összekapcsolása: Salesforce, Okta, Google és Microsoft naplók integrálása átfogó láthatóságért.
- Viselkedéselemzés: UEBA alkalmazása a gyanús aktivitás észlelésére, még akkor is, ha a hozzáférési minták normálisnak tűnnek.
Zscaler bemutatása
A Zscaler amerikai felhőbiztonsági vállalat, amely SaaS alapú biztonsági platformot nyújt. Fő megoldása a Zero Trust Exchange architektúra, amely biztonságos internet- és alkalmazás-hozzáférést biztosít.
Fő termékei közé tartozik:
- Zscaler Internet Access (ZIA) – védelem internet- és SaaS-alkalmazások eléréséhez,
- Zscaler Private Access (ZPA) – biztonságos kapcsolódás belső alkalmazásokhoz, hagyományos VPN-ek és tűzfalak helyett.
A forgalom a globális felhőhálózatukon keresztül halad, így védelmet nyújt a rosszindulatú programok, jogosulatlan hozzáférés és adatvesztés ellen.
