Salesloft 公司近期揭露一起重大資安事件,起因為駭客入侵其 GitHub 帳號,進而導致旗下 Drift 應用程式發生資料外洩。
Google 旗下的資安調查團隊 Mandiant 發現,代號
UNC6395 的駭客集團從今年 3 月起就已滲透 Salesloft 的 GitHub 帳號,並在系統內潛伏至 6 月。這起供應鏈攻擊已確認波及 22 家企業客戶。
駭客透過 GitHub 存取權限,成功從多個程式碼庫下載機敏內容、新增訪客帳號,並建立惡意自動化工作流程。攻擊者花費數個月時間在 Salesloft 及其去年併購的 AI 聊天機器人公司 Drift 的系統環境中進行內部偵察活動。
攻擊手法與資料竊取
調查顯示,UNC6395 成功滲透 Drift 的 AWS 雲端環境,並竊取客戶技術整合服務的身分驗證權杖(OAuth tokens)。
由於 Drift 工具經常與 Salesforce 等雲端平台整合,用於追蹤客戶互動資料,這些被竊的 OAuth 權杖讓攻擊者得以存取大量客戶資料。
Google 威脅情報小組(GTIG)在 8 月底的更新中特別強調,UNC6395 對 OAuth 權杖的濫用範圍不僅限於 Salesforce,因此建議所有 Salesloft Drift 客戶應將存儲在該平台中的所有身分驗證權杖視為「已被竊取」。
閱讀更多:Google 證實:Salesloft Drift 資安漏洞擴大 相關整合平台認證令牌應視為已遭駭
受害企業與資料外洩影響
目前已有多家知名企業公開承認受此事件影響,包括 Cloudflare、Zscaler、Palo Alto Networks、Nutanix、Elastic、Cato Networks、Tenable、Rubrik 和 Proofpoint 等資安與科技業者。加拿大線上投資管理服務 Wealthsimple 也證實,用戶的身分證件、帳號資訊、社會保險號碼、出生日期及聯絡資料遭到存取,所幸並未發生資金損失。
延伸閱讀:Salesloft Drift入侵事件波及Zscaler,客戶資料遭竊
大部分受影響企業使用 Salesloft Drift 來管理客戶服務資訊,駭客主要竊取與客服工單相關的資料。被竊資料包括客戶可能分享的各類機敏資訊,如系統日誌、存取權杖、密碼,以及姓名、企業電子郵件、電話號碼等商業聯絡資訊。
面對此次資安事件,Salesloft 立即採取多項緊急應變措施,包括
隔離 Drift 基礎設施、
暫時下線服務、
更換遭竊憑證等。根據 Mandiant 的調查結果,資安事件已獲得有效控制,目前工作重點已轉向鑑識品質保證審查階段。
Salesloft 在 9 月 7 日宣布,其平台與 Salesforce 之間的整合功能已恢復正常運作。該連線服務曾在事件曝光後暫時中斷約一週時間。這起事件再次凸顯供應鏈攻擊的嚴重威脅,以及企業在雲端整合服務中妥善管理身分驗證權杖的重要性。
本文轉載自 DarkReading、InfosecurityMagazine、TheHackerNews、TheRecord。