Los piratas informáticos robaron las credenciales de los usuarios de los clientes de Salesforce en una campaña generalizada a principios de este mes, según Investigadores del Grupo de Inteligencia de Amenazos de Googlequien advirtió que los robos podrían conducir a ataques de seguimiento.
Un actor de amenaza que Google rastrea como UNC6395 se dirigió a instancias de Salesforce utilizando tokens OAuth comprometidos que estaban asociados con el agente de chat de IA Drift AI del proveedor de participación del cliente.
Los investigadores creen que el objetivo principal de los piratas informáticos era cosechar credenciales, ya que robaron grandes cantidades de datos de numerosas instancias de la fuerza de ventas.
El grupo de inteligencia de amenazas de Google «es consciente de más de 700 organizaciones potencialmente impactadas», dijo Austin Larsen, analista principal de amenazas de la compañía, Cybersecurity Dive en un comunicado. «El actor de amenaza utilizó una herramienta Python para automatizar el proceso de robo de datos para cada organización que fue dirigida».
Los ataques no implicaron ninguna vulnerabilidad en la plataforma Salesforce, según los investigadores.
Después de robar los datos, los piratas informáticos buscaron credenciales confidenciales, incluidas las claves de acceso y las contraseñas para los servicios web de Amazon, así como los tokens de acceso para la plataforma Snowflake Cloud.
Los ataques ocurrieron en gran medida entre el 8 de agosto y el 18 de agosto, dijeron los investigadores. Para el 20 de agosto, Salesloft había comenzado a trabajar con Salesforce para revocar todo el acceso activo y actualizar los tokens de deriva, según Google.
Vendedor emitió una alerta de seguridad el 20 de agosto Pidiendo a los administradores de Drift que reanicen sus conexiones de Salesforce.
Salesforce dijo en un comunicado El martes que sus equipos de seguridad detectaron actividades habituales que pueden haber llevado al acceso no autorizado a un pequeño número de instancias de clientes.
La compañía ha eliminado la deriva de SalesLoft de su mercado AppExchange en espera de una mayor investigación.
«Continuamos trabajando con SalesLoft como parte de nuestra investigación y proporcionamos actualizaciones según corresponda, incluida la notificación y el apoyo a los clientes afectados con remediación», dijo Salesforce en la alerta.
Los piratas informáticos demostraron una conciencia de la seguridad operativa al eliminar los trabajos de consulta, dijo Google, pero esta actividad no afectó directamente los registros de eventos, por lo que la compañía alentó al personal de seguridad a verificar sus registros para la evidencia de la exposición a los datos.
Los usuarios que han sido notificados de un compromiso por Salesforce o Salesloft deben seguir la orientación mandante sobre cómo remediar, Charles Carmakal, CTO Mandiant Consulting dijo en una publicación de LinkedIn.
Los investigadores dijeron que las organizaciones deben considerar sus datos de Salesforce comprometidos si usaban la deriva en su instancia de Salesforce. Las empresas afectadas deben revocar las claves API, rotar credenciales y endurecer los controles de acceso, dijeron.
Fuente