Взлом Salesforce: хакеры получили доступ к данным клиентов через интеграцию с Salesloft

Один взлом превратился в цепную реакцию по всему интернету Salesloft обслуживающая более 5000 клиентов 20 августа сообщила об обнаружении проблемы в приложении Drift именно эта технология лежит в основе чатбота повсеместно используемого на корпоративных сайтах Из за чего кража аутентификационных токенов у компании Salesloft вызвала цепную реакцию угроз по всей цифровой инфраструктуре Инцидент затронул сотни сторонних сервисов интегрированных с Salesloft включая Slack Google Workspace Amazon S3 Microsoft Azure и OpenAI Этичный хакер

Подкатили горячие новости от киберподполья 1 Известная в отрасли Zscaler стала жертвой серьёзной утечки данных в результате атаки на цепочку поставок которая затронула одного из её сторонних поставщиков Salesloft Злоумышленники UNC6395 использовали украденные токены OAuth сервиса Drift для получения несанкционированного доступа к среде Salesforce компании Zscaler что позволило им похитить конфиденциальную информацию клиентов При этом инцидент не затронул основные продукты сервисы или инфраструктуру компании Раскрытая информация включает в себя наименования адреса электронной почты должности номера телефонов адреса сведения по лицензированию решений и данные их техподдержки Согласно заявлениям Zscaler случаев неправомерного использования этой информации не обнаружено тем не менее компания отменила все интеграции Salesloft Drift с экземпляром Salesforce провела ротацию других API токенов и начала расследование инцидента 2 Анонсирована продажа ZeroClick для Android 11 15 потенциально позволяя осуществить полный удаленный захват миллионов устройств Уязвимость связана с повреждением памяти в Android MMS Parser и не имеет доступных исправлений безопасности Цепочка эксплойтов предположительно обходит средства защиты Android включая его песочницу предоставляя злоумышленнику полный root доступ 3 Крупная криптобиржа Nobitex предположительно подверглась атаке с использованием критической 0 day которая теперь доступна к продаже и нацелена на корпоративную почтовую инфраструктуру компании Эксплойт позволяет полностью захватить почтовый домен компании и реализуется единственному покупателю по цене в 10 BTC Уязвимость связана с неправильной настройкой SMTP сервера и позволяет обойти аутентификацию Помимо самого эксплойта злоумышленник утверждает что продаёт сопутствующие данные якобы полученные от компании Причем хакер неоднократно пытался связаться с Nobitex но там на него не обратили внимания 4 Банда вымогателей Anubis утверждает что ей удалось взломать крупного подрядчика в сфере аэрокосмической и оборонной промышленности TRAF Industrial Products Компания является специализированным машиностроительным предприятием поставляющим компоненты для крупных международных корпораций включая Boeing Airbus Lockheed Martin Bombardier и Pratt Whitney Злоумышленники утверждают что смогли похитить внушительный объём конфиденциальных корпоративных и персональных данных угрожая опубликовать их 5 По всей видимости основательно подломили сети AT T доступ к инфраструктуре теперь выставлен на продажу Продавец утверждает что закрепился в инфраструктуре первого уровня компании получив интерактивный доступ для чтения и записи к базе данных содержащей информацию примерно о 24 миллионах активных абонентов Как утверждается этот доступ позволяет осуществлять атаки с подменой SIM карт считывать коды 2FA отправленные по SMS а также получать онлайн доступ к базе данных примерно 24 миллионов клиентов AT T 6 Досталось и китайскому правительству доступ к системе которого также доступен для покупки в даркнете Согласно сообщению доступ предоставляется к системе на базе Linux в gov cn домене через SSH ключ

news Среди пострадавших от кражи токенов чат бота Salesloft Drift нашлась и ИБ компания утечку клиентских данных раскрыла Zscaler Затронут только сам инстанс остальная инфраструктура не пострадала По итогам утекла информация на клиентов из техподдержки имена рабочие почты должности телефоны информация о продуктах детали кейсов Клиентам рекомендуют опасаться фишинговых звонков и писем от малолетних дарований и прочих причастных Так как утекло из ИБ спрос с них побольше доступ с Drift отключили все подручные токены сменили протоколы укрепили расследование ведут аудит сторонних сервисов запросили всё как полагается Но осадочек всё равно останется Не спрашивай у ИБ фирмы насколько защищены её продукты Спрашивай насколько защищены её SaaS Спойлер не очень tomhunter

news Августовская кража auth токенов у Salesloft разраба корпоративного чат бота растёт и ширится Google предупредила что вместе с данными c Salesforce стянули токены сотен других интегрированных сервисов Salesloft раскрыла взлом 20 августа были скомпрометированы токены от их чат бота Drift затронуты больше 700 компаний А теперь выяснилось что утекло и интегрированное с Salesloft токены от Slack Azure Amazon S3 Google Workspace и далее по списку Ответственность за взлом на себя взяли ShinyHunters в коллабе с Scattered Spider и Lapsus За цирком в их TG канале наблюдают уже 40к спецагентов исследователей и прочих зевак но кто видел одно малолетнее дарование от сайберкрайма видел их всех Мы не кибертеррористы мы кибербоги вот это вот всё От угроз в адрес Google детишки перешли на угрозы ФБР и явно решили устроить спидран до списка особо разыскиваемых экстрадиции и посадки Быть неязвимым богом хакинга в 19 конечно весело Но только пока в дверь не постучали tomhunter

Интересный кейс со взломами ИБ компаний В августе 2025 г в течении 10 дней 8 18 августа злоумышленники получили и имели доступ к Salesforce инстансам множества компаний через интеграцию с Salesloft Drift ИИ агент который и был взломан Через скомпрометированные OAuth токены хакеры получили доступ и начали качать все подряд аккаунты контакты кейсы сделки Дальше они уже копались в этих данных выискивая секреты и зацепки для последующих атак на те же AWS Snowflake и прочие облака Среди сотен пострадавших как downstream клиент Drift оказалась Palo Alto Networks известный поставщик решений по ИБ Важно отметить атака была на Salesforce а не на инфраструктуру самого ИБ вендора Компания официально заявила что инцидент ограничился их CRM которая располагалась в Salesforce а продукты системы и сервисы Palo Alto остались вне зоны влияния злоумышленников SaaS to SaaS интеграции в данном случае Salesloft Salesforce это новая точка слабины создающая слепую зону для традиционных защитных решений Многие компании доверяют цепочке сервисов но её безопасность часто слепая зона OAuth токены становятся полноценным ключом доступа и их угон позволяет хакерам работать под видом легитимного приложения Salesloft отозвал все токены Drift и потребовал повторную аутентификацию пользователей Palo Alto же советует всем клиентам Salesforce покопаться в логах проверять активности Drift API мониторить IdP И главное сменить все ключи и пароли даже если они кажутся чистыми Помимо Palo Alto также пострадала еще одна ИБ компания Zscaler Схема была точно такой же но утекли также данные техподдержки текстовые чаты из служебных кейсов без вложений и файлов Возможно пострадали и иные ИБ компании услугами Salesforce пользуются многие разработчики средств защиты информации но пока об этом не говорится А как вы контролируете своих поставщиков с точки зрения кибербезопасности инцидент supplychain

Cloudflare и ИБ компания Zscaler пострадали из за атаки на Salesloft Drift Множество крупных компаний сообщают что пострадали от хакерской атаки связанной со взломом Salesloft Drift Среди них ИБ компании Zscaler и Palo Alto Networks SaaS платформы Workiva PagerDuty и Exclaimer компания Cloudflare и многие другие xakep ru 2025 09 03 drift victims