Molte aziende, tra cui Zscaler, Palo Alto Networks e SpyCloud, sono state colpite dalla violazione dei dati di Salesloft Drift.
In un'importante violazione della sicurezza informatica, un gruppo noto come UNC6395, monitorato da Google, è ritenuto responsabile di un'infrazione che ha interessato oltre 700 aziende, tra cui nomi noti come Zscaler e Palo Alto Networks.
La violazione, avvenuta tra l'8 e il 18 agosto 2025, ruota intorno a Salesloft, una piattaforma di impegno delle vendite popolare. Gli attaccanti hanno utilizzato credenziali OAuth compromesse per esfiltrate i dati dalle istanze Salesforce dei clienti che hanno integrato Salesloft con i loro account Salesforce.
Gli attaccanti si sono concentrati sulla ricerca di chiavi di accesso AWS, password e token di accesso correlati a Snowflake. Hanno anche preso di mira gli account Gmail, utilizzando l'applicazione OAuth Drift Email per Google Workspace per esfiltrate le email.
Salesforce ha adottato misure precauzionali disabilitando tutte le integrazioni tra la sua piattaforma e le tecnologie Salesloft, comprese l'app Drift. Google ha seguito l'esempio, disabilitando la funzionalità di integrazione tra Google Workspace e Salesloft Drift in attesa di ulteriori indagini.
Salesloft ha coinvolto esperti di cybersecurity di Mandiant e Coalition per indagare e risolvere il compromesso. Hanno anche raccomandato ai clienti Drift che gestiscono i loro propri collegamenti Drift alle applicazioni di terze parti tramite chiave API di revocare la chiave esistente e riconnettersi utilizzando una nuova chiave API per queste applicazioni.
I ricercatori della minaccia WideField hanno osservato attività sospette negli eventi del registro su più clienti che utilizzano la sua piattaforma di sicurezza, segnalando gli attaccanti che frugano nei database Salesforce e negli account Gmail. Hanno condiviso ulteriori indicatori di compromesso e descritto l'attività specifica di AWS da tenere d'occhio.
I responsabili delle incidenti di Google Mandiant hanno fornito ampie indicazioni su come le organizzazioni possono indagare per il compromesso e scansionare per i segreti esposti e le credenziali hardcoded. Gli analisti del gruppo di intelligence delle minacce di Google (GTIG) hanno confermato che l'attore ha anche compromesso i token OAuth per l'integrazione 'Drift Email'.
GTIG ha anche confermato che il compromesso ha interessato altre integrazioni. In almeno un caso, gli attaccanti hanno tentato di accedere ai bucket S3 i cui nomi sono stati probabilmente estratti dagli ambienti Salesforce compromessi. I ricercatori di Astrix hanno confermato che gli attaccanti hanno utilizzato questi token per accedere alle email da un numero molto piccolo di account Google Workspace l'8 agosto 2025.
I ricercatori della minaccia WideField hanno fornito indicazioni utili sia ai loro clienti che alle altre organizzazioni interessate. Esortano le organizzazioni a restare vigili e proactive nella sicurezza dei loro asset digitali.
Iscrivendosi a un'allerta email sulle notizie in tempo reale si può restare informati sulle ultime violazioni, vulnerabilità e minacce per la sicurezza informatica. Restate al sicuro e mantenete i vostri sistemi protetti.
Leggi anche:
- "Il governatore Hochul sostiene che le aziende di New York hanno inviato illegalmente prodotti per lo svapo, con particolare attenzione ai bambini"
- Esplorare il nesso: Le infanzie traumatiche alimentano gli antagonisti cinematografici?
- Esplorazione dei regolamenti relativi alle scommesse e al mantenimento del fair play nella scena sportiva contemporanea
- Info: Imminente uscita di EA SPORTS FC 26 con un'espansione delle squadre e delle leghe di calcio disponibili
