Google предупреждает организации о краже данных Salesforce

Организации, использующие Salesforce, могли столкнуться с кражей конфиденциальных данных после того, как хакеры проникли в Salesloft, платформу автоматизации продаж, стоящую за интеграцией чата Drift AI.

Группа угрозовой разведки Google (GTIG) вместе с Salesloft сообщила, что атака произошла между 8 и 18 августа 2025 года. Атакующие, отслеживаемые как UNC6395, осуществили проникновение, используя украденные токены OAuth и обновления из приложения Drift, проникая на различные платформы Salesforce.

«Первоначальные результаты показывают, что основной целью актера было воровство учетных данных, в частности, он сосредоточился на чувствительной информации, такой как ключи доступа AWS, пароли и токены доступа, связанные с Snowflake», — говорится в информационном бюллетене Salesloft заявлено.

Атакующие систематически выполняли запросы к объектам Salesforce, включая дела, счета, пользователей и возможности.

Как отметила GTIG, «UNC6395 продемонстрировал осведомлённость в вопросах операционной безопасности, удалив задания на поиск, однако это не повлияло на журналы, и организациям всё равно следует проверить соответствующие журналы на предмет свидетельств утечки данных.»

BleepingComputer поясняет, что злоумышленники скрыли свою инфраструктуру с помощью Tor, а также облачных хостинг-сервисов, таких как AWS и DigitalOcean.

Меры безопасности, принятые Salesloft и Salesforce, включали отмену всех активных токенов Drift, а также временное удаление приложения из Salesforce AppExchange.

Клиентам необходимо повторно аутентифицировать свои аккаунты и изменить свои учетные данные для входа. Google рекомендует организациям проверять объекты Salesforce на наличие ключей AWS, наряду с учетными данными Snowflake, паролями и URL для входа в VPN. Административный персонал также должен внедрить блокировку по IP, ограничить привилегии приложения и контролировать активность аутентификации.

Хотя некоторые отчеты предполагали связь с группой вымогателей ShinyHunters, Google не нашел доказательств этого. «На данный момент мы не видим убедительных доказательств их связи», — сказал Остин Ларсен, главный аналитик по угрозам в GTIG.

BleepingComputer утверждает, что атака является частью более широкой волны атак, в которых Salesforce становится целью через социально-инженерные атаки, вводящие в заблуждение сотрудников и заставляющие их утверждать опасные приложения.

Высокопрофильные организации недавно сообщили о связанных нарушениях, включая Google, Cisco, Adidas и Louis Vuitton.

Организации, внедряющие интеграцию Drift-Salesforce, должны относиться к своим данным как к скомпрометированным и немедленно приступить к процедурам восстановления для защиты своих систем от дополнительного кражи информации.