Investigația incidentului care a dus la compromiterea instanțelor Salesforce a sute de companii a pornit de la accesul neautorizat la contul GitHub al Salesloft, care s-a produs încă din luna martie.
Incidentul a afectat aplicația Salesloft Drift, o unealtă de marketing conversational bazată pe inteligență artificială și cu integrări extinse, inclusiv cu instanțele Salesforce CRM.
Salesloft, o platformă utilizată pe scară largă pentru managementul vânzărilor, a contractat serviciile Mandiant pe 28 august, pentru a investiga compromiterea platformei Drift și a integrărilor sale tehnologice.
Investigatorii au descoperit ca atacatorul a avut acces la contul GitHub al Salesloft între martie și iunie, în aceasta perioada întreprinzând diverse activități precum descărcarea de conținut din mai multe depozite, adăugarea un utilizator, și stabilirea de fluxuri de lucru.
În aceeași perioadă atacatorul a avut activități de recunoaștere atât în mediile de aplicații Salesloft, cât și Drift, care au pregătit scena pentru atacurile ulterioare.
Activitatea a escaladat după ce actorii informatici au compromis mediul AWS (Amazon Web Services) al Drift, permițându-le să obțină token-uri OAuth ale clienților Drift pentru integrările tehnologice ale aplicației.
Având token-urile, atacatorul a putut accesa datele din instanțele Salesforce integrate cu platforma Drift folosită de clienți Salesloft.
În faza inițială hackerii s-au concentrat în principal pe furtul cazurilor de suport din instanțele Salesforce, care au fost apoi folosite pentru a colecta credențiale, token-uri și chei de acces, precum și alte secrete prezente în tichetele de suport.
Grupul de infractori cibernetici Scattered Lapsus$ Hunters și-a asumat responsabilitatea pentru acest atac, jubilând pe un canal Telegram (acum privat) la fiecare anunț al unei companii mai mari, în special din sectorul de securitate informatică, că a fost afectată de mega breșa Salesloft.
Hackerii afirmă că membrii săi sunt din infractori cibernetici asociați cu grupurile de extorcare Scattered Spider, Lapsus$ și ShinyHunters.
Trebuie menționat că informațiile sustrase de hackeri din instanțele Salesforce sunt, în majoritatea cazurilor date business de contact, conturi de vânzări, și detalii despre tichetele de suport tehnic.
În unele cazuri, însă, detaliile includ detalii despre configurațiile clienților și pot conține informație sensibilă, precum token-uri de acces.
Printre companiile afectate se numără nume sonore precum Google, Zscaler, Cloudflare, Workiva, Tenable, JFrog, Bugcrowd, Proofpoint și Palo Alto Networks. Se estimează că peste 700 de organizații au fost afectate de incident.
După descoperirea incidentului, Salesloft spune că a schimbat credențialele, a întărit măsurile de securitate și a verificat segmentarea față de produsul Drift, al cărui infrastructură a fost izolată.
Cu ajutorul Mandiant, compania a desfășurat activități de threat hunting și nu a găsit alte indicii suplimentare de compromitere, ceea ce înseamnă că actorul rău intenționat nu mai are acces în mediul său.
Într-o actualizare ulterioară, publicată pe 7 septembrie, Salesloft a anunțat restaurarea integrării Salesloft cu Salesforce, după suspendarea preventivă declanșată de incidentul de securitate Drift.
Conform constatărilor Mandiant, incidentul este acum sub control, iar focusul a trecut la o revizuire a asigurării calității criminalistice (forensic quality assurance review).
În urma acestor măsuri, integrarea Salesloft cu Salesforce a fost restabilită, iar utilizatorii au primit ghiduri pas cu pas pentru sincronizarea datelor.
