I criminali informatici ottengono informazioni sui clienti dalle piattaforme di Salesforce attraverso una funzione di chat alimentata da IA
In un'incidente di sicurezza informatica recente, un attore minaccioso ha ottenuto l'accesso non autorizzato a numerosi istanze Salesforce aziendali acquisendo token OAuth Salesforce da Salesloft Drift, uno strumento di chat dal vivo alimentato da intelligenza artificiale.
Secondo il team di risposta agli incidenti di Google Mandiant, l'obiettivo degli attaccanti era quello di trovare e recuperare credenziali aggiuntive archiviate nei record Salesforce. L'attività non autorizzata su Salesloft Drift è stata rilevata il 20 agosto, ma l'abuso dei token OAuth per accedere ai dati Salesforce è avvenuto tra l'8 e il 18 agosto.
Il gruppo di intelligence minacce di Google (GTIG) ha osservato l'attore che mirava a credenziali sensibili come chiavi di accesso AWS, password e token di accesso correlati a Snowflake. Dopo aver eseguito query SOQL, gli attaccanti hanno eliminato i lavori di query, lasciando intatti i log per le organizzazioni da esaminare e determinare quali query sono state eseguite e quali dati gli attaccanti hanno rubato.
Salesforce ha invalidato i token di accesso interessati e rimosso Salesloft Drift dal proprio AppExchange in attesa di ulteriori indagini. Gli utenti di Salesloft Drift devono considerare immediatamente tutti i token di autenticazione archiviati o collegati alla piattaforma Drift come potenzialmente compromessi. Dovrebbero revocare e ruotare le credenziali per tutte le integrazioni di terze parti collegate al proprio istanza Drift e indagare accuratamente tutti i sistemi collegati per segni di accesso non autorizzato per prevenire ulteriori possibili fughe di dati.
Le integrazioni Salesforce-SaaS, come Salesloft Drift e Salesforce, estendono la superficie di attacco e diventano un punto di ingresso potenziale aggiuntivo. Le organizzazioni dovrebbero cercare nei propri oggetti Salesforce eventuali credenziali archiviate e ruotarle, soprattutto quelle contenenti i termini AKIA (AWS), Snowflake, password, secret e key.
Il report GTIG e le avvertenze di Salesloft includono indicatori di compromissione come gli indirizzi IP utilizzati dagli attaccanti e le stringhe User-Agent degli strumenti utilizzati per accedere ai dati. Mandiant consiglia alle aziende di cercare nei log eventuali attività da nodi di uscita Tor noti, oltre agli indirizzi IP elencati nei IOC e di aprire un biglietto di supporto Salesforce per ricevere l'elenco completo delle query eseguite dagli attaccanti.
BleepingComputer riferisce che un rappresentante del gruppo di estorsione ShinyHunters ha rivendicato di essere dietro l'attacco. ShinyHunters opera da diversi anni e ha dichiarato di essere responsabile di violazioni segnalate presso AT&T, Ticketmaster e altre organizzazioni. Il gruppo ha mirato a conti Snowflake e AWS in passato, nonché a conti Salesforce di recente.
Un tool open source chiamato TruffleHog può essere utilizzato per cercare dati per segreti e credenziali hardcoded. Gli utenti dovrebbero lanciare immediatamente indagini interne per determinare quali altre credenziali archiviate nelle proprie istanze Salesforce potrebbero essere state compromesse.
Mandiant esorta le aziende a rimanere vigili e a prendere misure proattive per garantire la sicurezza dei propri sistemi e dati, in particolare per quanto riguarda le integrazioni SaaS-SaaS come OAuth, che forniscono un modo facile per le applicazioni di autenticarsi tra loro, ma aumentano anche il rischio di violazioni dei dati.
Leggi anche:
- Considerando il bisogno di una casa di cura per mia madre, dovrei ridurre i suoi beni per renderla idonea al Medicaid?
- La società di gioco d'azzardo BlueBet è stata multata da VGCCC con 50.000 dollari australiani per aver violato le regole della pubblicità
- Gli oratori annunciati per l'evento FUEL Manchester 2025
- "TOH WEI SOONG: La vera prova sta nel superare i limiti personali e rimanere fedeli alle proprie abilita'".
