- Автор темы
- #1
Множество крупных компаний сообщают, что пострадали от хакерской атаки, связанной со взломом Salesloft Drift. Среди них: ИБ-компании Zscaler и Palo Alto Networks, SaaS-платформы Workiva, PagerDuty и Exclaimer, компания Cloudflare и многие другие.
Напомним, что на прошлой неделе стало известно, что хакеры скомпрометировали платформу автоматизации продаж Salesloft и похитили OAuth и refresh-токены клиентов из ее ИИ-агента Drift, предназначенного для интеграции с Salesforce (не имеет отношения к Salesloft).
Иллюстрация: WideField Security
Как после предупредили представители Google, атака была массовой и затронула, в том числе, данные Google Workspace.
Иллюстрация: WideField Security
Salesloft Drift представляет собой стороннюю платформу для интеграции ИИ-чат-бота Drift с инстансом Salesforce, позволяя организациям синхронизировать разговоры, лиды и обращения в поддержку со своей CRM. Для оптимизации процесса Drift также может интегрироваться с различными сервисами, включая Salesforce и другие платформы (Slack, Google Workspace и другие).
Атака длилась с 8 по 18 августа 2025 года. В результате взлома злоумышленники получили клиентские токены Drift, используемые для интеграции с Salesforce, а затем использовали их для кражи данных из Salesforce.
В итоге аналитики Google рекомендовали всем компаниям, использующим Drift, интегрированный с Salesforce, считать свои данные скомпрометированными.
Теперь представители компании Zscaler сообщили, что ее инстанс Salesforce подвергся взлому в рамках этой атаки на цепочку поставок, в результате чего была раскрыта информация о клиентах.
В Zscaler уверяют, что не обнаружили случаев неправомерного использования похищенной информации. Однако клиентам компании рекомендуется сохранять бдительность в отношении возможных фишинговых атак и социальной инженерии.
Еще одной жертвой этой атаки на цепочку поставок стала Palo Alto Networks. Специалисты заявляют, что компания стала одной из сотен жертв этой вредоносной кампании. В данном случае инцидент тоже ограничился CRM-системой Salesforce и не затронул какие-либо другие продукты, системы и сервисы.
Palo Alto Networks уже уведомляет о случившемся всех пострадавших клиентов.
Другой крупной жертвой компрометации Salesloft Drift стала компания Cloudflare. Представители интернет-гиганта сообщили, что злоумышленники получили доступ к инстансу Salesforce, который использовался для внутреннего управления обращениями и поддержки клиентов, а также содержал 104 токена API Cloudflare.
Специалисты Cloudflare узнали об атаке еще 23 августа, и ко 2 сентября оповестили всех пострадавших клиентов об инциденте. Перед тем как сообщить клиентам об атаке, компания аннулировала все 104 токена, похищенных во время взлома, хотя в настоящее время никакой подозрительной активности, связанной с ними, обнаружено не было.
Хотя специалисты Google возлагают ответственность за эти атаки на хак-группу под идентификатором UNC6395, представители группировки ShinyHunters заявили изданию Bleeping Computer, что это они стоят за атакой.
За последние месяцы от похожих утечек данных, связанных с Salesforce и активностью ShinyHunters, пострадали: Adidas, авиакомпания Qantas, страховая компания Allianz Life, ряд брендов LVMH (Louis Vuitton, Dior и Tiffany & Co), сайт Cisco.com, а также модный дом Chanel и датская ювелирная компания Pandora.
Напомним, что на прошлой неделе стало известно, что хакеры скомпрометировали платформу автоматизации продаж Salesloft и похитили OAuth и refresh-токены клиентов из ее ИИ-агента Drift, предназначенного для интеграции с Salesforce (не имеет отношения к Salesloft).
Иллюстрация: WideField SecurityКак после предупредили представители Google, атака была массовой и затронула, в том числе, данные Google Workspace.
Иллюстрация: WideField SecuritySalesloft Drift представляет собой стороннюю платформу для интеграции ИИ-чат-бота Drift с инстансом Salesforce, позволяя организациям синхронизировать разговоры, лиды и обращения в поддержку со своей CRM. Для оптимизации процесса Drift также может интегрироваться с различными сервисами, включая Salesforce и другие платформы (Slack, Google Workspace и другие).
Атака длилась с 8 по 18 августа 2025 года. В результате взлома злоумышленники получили клиентские токены Drift, используемые для интеграции с Salesforce, а затем использовали их для кражи данных из Salesforce.
В итоге аналитики Google рекомендовали всем компаниям, использующим Drift, интегрированный с Salesforce, считать свои данные скомпрометированными.
Теперь представители компании Zscaler сообщили, что ее инстанс Salesforce подвергся взлому в рамках этой атаки на цепочку поставок, в результате чего была раскрыта информация о клиентах.
В руки хакеров попала следующая информация:
- имена;
- адреса электронной почты;
- должности;
- номера телефонов;
- региональная информация;
- данные о лицензировании продуктов Zscaler и коммерческая информация;
- содержимое некоторых запросов в поддержку.
В Zscaler уверяют, что не обнаружили случаев неправомерного использования похищенной информации. Однако клиентам компании рекомендуется сохранять бдительность в отношении возможных фишинговых атак и социальной инженерии.
Еще одной жертвой этой атаки на цепочку поставок стала Palo Alto Networks. Специалисты заявляют, что компания стала одной из сотен жертв этой вредоносной кампании. В данном случае инцидент тоже ограничился CRM-системой Salesforce и не затронул какие-либо другие продукты, системы и сервисы.
Злоумышленники так же похитили контактную информацию и связанную с ней информацию об учетных записях, а также внутренние записи о продажах. Подчеркивается, что украденные данные, связанные с обращениями в службу технической поддержки, содержали только контактную информацию и текстовые комментарии, но не файлы или вложения.
Palo Alto Networks уже уведомляет о случившемся всех пострадавших клиентов.
Другой крупной жертвой компрометации Salesloft Drift стала компания Cloudflare. Представители интернет-гиганта сообщили, что злоумышленники получили доступ к инстансу Salesforce, который использовался для внутреннего управления обращениями и поддержки клиентов, а также содержал 104 токена API Cloudflare.
Специалисты Cloudflare узнали об атаке еще 23 августа, и ко 2 сентября оповестили всех пострадавших клиентов об инциденте. Перед тем как сообщить клиентам об атаке, компания аннулировала все 104 токена, похищенных во время взлома, хотя в настоящее время никакой подозрительной активности, связанной с ними, обнаружено не было.
Таким образом, любая информация, которой клиент мог поделиться с Cloudflare через систему поддержки (включая логи, токены и пароли), должна считаться скомпрометированной. Пользователям настоятельно рекомендуется сменить любые учетные данные, которыми они могли делиться с компанией.
Также о компрометации Salesforce, последовавшей за взломом Salesloft Drift, сообщили SaaS-платформы Workiva, PagerDuty и Exclaimer; ИБ-компании Tanium и SpyCloud и Astrix Security; облачная компания Cloudinary. Список пострадавших продолжает быстро пополняться.
Хотя специалисты Google возлагают ответственность за эти атаки на хак-группу под идентификатором UNC6395, представители группировки ShinyHunters заявили изданию Bleeping Computer, что это они стоят за атакой.
За последние месяцы от похожих утечек данных, связанных с Salesforce и активностью ShinyHunters, пострадали: Adidas, авиакомпания Qantas, страховая компания Allianz Life, ряд брендов LVMH (Louis Vuitton, Dior и Tiffany & Co), сайт Cisco.com, а также модный дом Chanel и датская ювелирная компания Pandora.