Cloudflare e Palo Alto Networks hanno subito una fuga di dati durante l'attacco di Salesloft Drift
In una serie di recenti attacchi informatici, le istanze Salesforce di diverse aziende di alto profilo, tra cui Cloudflare, Palo Alto Networks e Zscaler, sono state compromesse. Secondo il gruppo di intelligence sulla minaccia di Google (GTIG), il gruppo responsabile di questi attacchi è sospettato di essere un attore statale, anche se non è stata confermata alcuna nazione specifica.
Il violazione è stata avviata dal compromesso dei token OAuth associati all'applicazione terze parti Salesloft Drift. Ciò ha consentito all'attore minaccioso, UNC6395, di accedere alle istanze Salesforce delle aziende interessate.
Centinaia di organizzazioni sono state interessate da questo compromesso Drift, con l'esposizione limitata agli oggetti Salesforce case, principalmente costituiti da biglietti di supporto ai clienti e i relativi dati. I dati esfiltrati includono informazioni di contatto aziendali, account interni delle vendite e dati di base del caso relativi ai clienti delle aziende interessate.
Cloudflare ha scoperto attività sospette nella sua tenant Salesforce la scorsa settimana (12-17 agosto 2025). L'esfiltrato di dati è avvenuto tra l'8 e il 18 agosto, con l'attore minaccioso che cercava sistematicamente le credenziali. Cloudflare ha quindi rotato 104 token API Cloudflare trovati nel dataset compromesso come misura precauzionale.
Cloudflare non richiede o richiede ai clienti di condividere segreti, credenziali o chiavi API nei casi di supporto. Tuttavia, qualsiasi cosa condivisa attraverso questo canale dovrebbe ora essere considerata compromessa. L'azienda ha invitato i suoi clienti a roteare eventuali credenziali condivise con loro attraverso questo canale.
In modo simile, Palo Alto Networks ha anche avuto i suoi dati Salesforce accessibili dallo stesso attore minaccioso, come rivelato ieri. I dettagli della violazione di Palo Alto Networks sono ancora in via di emergenza.
Zscaler ha ammesso di essere stato interessato dalla campagna di furto di dati alcuni giorni prima delle rivelazioni di Cloudflare. L'entità esatta della violazione di Zscaler non è ancora nota.
È importante notare che il GTIG non ha trovato alcun collegamento tra questa campagna e la campagna di vishing ShinyHunters che mira ai clienti Salesforce.
Gli esperti suggeriscono che l'attore minaccioso utilizzerà probabilmente le informazioni raccolte per lanciare attacchi mirati contro i clienti delle organizzazioni interessate. È un promemoria per tutte le aziende di mantenere la vigilanza e di priorizzare le misure di cybersecurity per proteggere i propri dati preziosi.
Leggi anche:
- Esplorazione dei regolamenti relativi alle scommesse e al mantenimento del fair play nella scena sportiva contemporanea
- Info: Imminente uscita di EA SPORTS FC 26 con un'espansione delle squadre e delle leghe di calcio disponibili
- Il trionfo di Trump: ripercussioni nazionali e internazionali della sua elezione
- Non ignorare il sostegno finanziario pubblico alle emittenti
