- SalesLoft se violó cuando se robaron los tokens Oauth de SalesDrift
- Google rastreó a los actores de amenaza como UNC6395
- Shinyhunters se atribuyó la responsabilidad del ataque
La plataforma de flujo de trabajo de ingresos Salesloft sufrió un ataque cibernético que vio a los actores de amenazas entrar en una información confidencial de terceros y robar.
La compañía está utilizando Drift, una plataforma de marketing y ventas conversacional que utiliza chat en vivo, chatbots e IA, para involucrar a los visitantes en tiempo real, junto con su propio ventilador, una plataforma de terceros que vincula la funcionalidad de chat de IA de Drift con Salesforcesincronización de conversaciones, clientes potenciales y casos en el CRM a través del ecosistema SalesLoft.
A partir del 8 de agosto, y durando unos diez días, los adversarios lograron robar OAuth y refrescar los tokens de SalesDrift, girar a los entornos de los clientes y exfiltrando con éxito datos confidenciales.
Atacación
“Los hallazgos iniciales han demostrado que el objetivo principal del actor era robar credenciales, específicamente enfocándose en información confidencial como las claves de acceso de AWS, contraseñasy tokens de acceso relacionados con el copo de nieve “, dijo Salesloft en un aviso.
“Hemos determinado que este incidente no afectó a los clientes que no usan nuestra integración de la fuerza de deriva. Según nuestra investigación en curso, no vemos evidencia de actividades maliciosas continuas relacionadas con este incidente”.
En su escritoEl Grupo de Inteligencia de Amenazas de Google (GTIG) dijo que el ataque fue realizado por un actor de amenaza conocido como UNC6395.
“Después de exfiltrarse los datos, el actor buscó a través de los datos para buscar secretos que podrían usarse potencialmente para comprometer los entornos de las víctimas”, dijeron los investigadores.
“GTIG observó UNC6395 dirigido a credenciales sensibles como Amazonas Teclas de acceso de servicios web (AWS) (AKIA), contraseñas y tokens de acceso relacionados con el copo de nieve. UNC6395 demostró la conciencia de seguridad operativa al eliminar los trabajos de consulta, sin embargo, los registros no se vieron afectados y las organizaciones aún deben revisar los registros relevantes para la evidencia de la exposición a los datos ”.
Google parece creer que este es un actor de amenaza único, por lo que le dio un apodo único UNC6395.
Sin embargo, los hackers conocidos como Shinyhunters dijeron Computadora de soplado El ataque fue en realidad lo que hace, aunque Google pide diferir, diciéndole al sitio: “No hemos visto ninguna evidencia convincente que los conecte en este momento”.
