En divulgaciones separadas, Cloudflare Inc. y Proofpoint Inc. dijeron el martes que se vieron afectados por los ataques de la cadena de suministro de agosto vinculados a SalesLoft Drift.
Las divulgaciones marcan lo último en una ola de ataques, donde un actor de amenaza utilizó credenciales comprometidas vinculadas a Salesloft Drift AI Chatbot para obtener acceso a las instancias de Salesforce en cientos de empresas.
Cloudflare dijo que se le notificó la semana pasada del incidente, en el que un atacante externo obtuvo acceso a los campos de texto de los casos de apoyo en sus instancias de Salesforce, Según una publicación de blog Lanzado el martes.
A pesar de ser parte de un ataque de cadena de suministro mucho más grande, la compañía asumió la responsabilidad de la violación y emitió una disculpa.
«Somos responsables de las herramientas que utilizamos en apoyo de nuestro negocio», dijeron los ejecutivos de la compañía en la publicación del blog. «Por eso, nos disculpamos sinceramente».
Los incidentes siguen divulgaciones por Palo Alto Networks y ZScaler de sus entornos de Salesforce de sus clientes afectados por el ataque de la cadena de suministro.
Después de realizar actividades de reconocimiento por primera vez el 9 de agosto, el atacante robó datos del inquilino de Salesforce de la compañía entre el 13 y el 17 de agosto, según la publicación del blog. Cloudflare dijo que la «exposición se limitó a los objetos del caso Salesforce», que incluyen información de contacto relacionada con un caso de soporte, líneas de asunto y la correspondencia real del caso.
La compañía dijo que después de realizar una búsqueda a través de los datos comprometidos para tokens y contraseñas, encontró 104 tokens API de CloudFlare. No hay actividad sospechosa vinculada a los tokens, pero Cloudflare los giró todos como precaución.
También notificó a los clientes si sus datos se habían comprometido. La compañía dijo que no se han comprometido los servicios o infraestructura de CloudFlare debido a la violación.
Cloudflare dijo que no pide a los clientes que compartan información confidencial, como secretos, credenciales o claves API, durante estas interacciones de soporte; Sin embargo, en algunos casos de solución de problemas, a veces se puede transmitir información confidencial.
Cloudflare deshabilitó la integración de deriva para eliminar el acceso del actor de amenaza y lanzó un análisis forense, según la publicación del blog. La compañía también ha desconectado las integraciones de terceros con Salesforce y credenciales rotadas para todos sus servicios y cuentas de Internet de terceros.
Proofpoint dijo que los piratas informáticos obtuvieron acceso a su inquilino de Salesforce y pudieron ver la información almacenada en su instancia, Según una publicación de blog. La compañía dijo que se comunicará con los clientes si descubre que cualquier información fue que los datos confidenciales se usaron mal o se accedieron.
Proofpoint dijo que también desactivó la aplicación de deriva y la eliminó de su entorno de Salesforce.
Proofpoint dijo que no hay evidencia de que los ataques afectaron su software, servicios, red interna o datos protegidos por el cliente.
Mientras tanto, Okta dijo que pudo bloquear los intentos de acceder a su entorno de Salesforce utilizando tokens robados. La compañía afirma que pudo frustrar el ataque debido a la aplicación de las restricciones de IP entrantes, Según una publicación de blog Lanzado el martes.
Fuente