Cloudflare adalah perusahaan terbaru yang terpengaruh dalam serangkaian pelanggaran drift Salesloft baru-baru ini, bagian dari serangan rantai pasokan yang diungkapkan minggu lalu.
Raksasa internet mengungkapkan pada hari Selasa bahwa para penyerang memperoleh akses ke instance Salesforce yang digunakannya untuk manajemen kasus pelanggan internal dan dukungan pelanggan, yang berisi 104 token API Cloudflare.
Cloudflare diberitahu tentang pelanggaran tersebut pada 23 Agustus, dan itu memberi tahu pelanggan yang berdampak pada insiden tersebut pada 2 September. Sebelum memberi tahu pelanggan tentang serangan itu, itu juga memutar semua token yang dikeluarkan platform Cloudflare yang dikeluarkan yang dikeluarkan selama pelanggaran, meskipun belum menemukan aktivitas mencurigakan yang terkait dengan token ini.
“Sebagian besar informasi ini adalah informasi kontak pelanggan dan data kasus dukungan dasar, tetapi beberapa interaksi dukungan pelanggan dapat mengungkapkan informasi tentang konfigurasi pelanggan dan dapat berisi informasi sensitif seperti token akses,” Kata Cloudflare.
“Mengingat bahwa data kasus dukungan Salesforce berisi konten tiket dukungan dengan CloudFlare, informasi apa pun yang mungkin dibagikan oleh pelanggan dengan CloudFlare dalam sistem dukungan kami – termasuk log, token atau kata sandi – harus dianggap dikompromikan, dan kami sangat mendesak Anda untuk memutar kredensial yang mungkin Anda bagikan dengan saluran ini.
Investigasi perusahaan menemukan bahwa aktor ancaman mencuri hanya teks yang terkandung dalam objek kasus Salesforce (termasuk tiket dukungan pelanggan dan data terkait, tetapi tidak ada lampiran) antara 12 Agustus dan 17 Agustus, setelah tahap pengintaian awal pada 9 Agustus.
Objek kasus yang dieksfiltrasi ini hanya berisi data berbasis teks, termasuk:
- Baris subjek kasus Salesforce
- Badan kasing (yang mungkin termasuk kunci, rahasia, dll., Jika disediakan oleh pelanggan ke CloudFlare)
- Informasi kontak pelanggan (misalnya, nama perusahaan, alamat email pemohon dan nomor telepon, nama domain perusahaan, dan negara perusahaan)
“Kami percaya kejadian ini bukan peristiwa yang terisolasi tetapi aktor ancaman yang dimaksudkan untuk memanen kredensial dan informasi pelanggan untuk serangan di masa depan,” tambah Cloudflare.
“Mengingat bahwa ratusan organisasi terpengaruh melalui kompromi drift ini, kami menduga aktor ancaman akan menggunakan informasi ini untuk meluncurkan serangan yang ditargetkan terhadap pelanggan di seluruh organisasi yang terkena dampak.”
Gelombang pelanggaran data Salesforce
Sejak awal tahun, kelompok pemerasan Shinyhunters telah Menargetkan pelanggan Salesforce Dalam serangan pencurian data, menggunakan suara phishing (Vishing) untuk menipu karyawan agar menghubungkan aplikasi oauth berbahaya dengan instance Salesforce perusahaan mereka. Taktik ini memungkinkan para penyerang untuk mencuri basis data, yang kemudian digunakan untuk memeras korban.
Sejak Google pertama kali menulis tentang serangan ini Pada bulan Juni, banyak pelanggaran data telah dikaitkan dengan taktik teknik sosial Shinyhunters, termasuk Mereka yang menargetkan Google itu sendiri, Cisco, Qantas, Kehidupan Allianz, Asuransi petani, Hari kerja, Adidasserta anak perusahaan LVMH Louis Vuitton, DiorDan Tiffany & Co.
Sementara beberapa peneliti keamanan telah mengatakan kepada BleepingComputer bahwa serangan rantai pasokan Salesloft melibatkan aktor ancaman yang sama, Google tidak menemukan bukti konklusif yang menghubungkan mereka.
Palo Alto Networks juga dikonfirmasi selama akhir pekan Bahwa aktor ancaman di balik pelanggaran Salesloft Drift mencuri beberapa data dukungan yang dikirimkan oleh pelanggan, termasuk info kontak dan komentar teks.
Insiden Palo Alto Networks juga terbatas pada Salesforce CRM dan, seperti yang dikatakan perusahaan kepada BleepingComputer, itu tidak mempengaruhi produk, sistem, atau layanannya.
Perusahaan cybersecurity mengamati para penyerang yang mencari rahasia, termasuk AWS Access Keys (AKIA), string login VPN dan SSO, token kepingan salju, serta kata kunci generik seperti “rahasia,” “kata sandi,” atau “kunci,” yang dapat digunakan untuk melanggar lebih banyak platform cloud untuk mencuri data dalam serangan ekstorsi lain.
