サードパーティ経由でSalesforce顧客にデータ漏洩

サードパーティアプリを通じたOAuthトークンの侵害により、Salesforce顧客関係管理(CRM)プラットフォームのインスタンスで大規模なデータ漏洩が発生しました。この攻撃は不明な脅威アクターによって行われました。

問題のサードパーティアプリは、AIを活用した収益オーケストレーションプラットフォームであるSalesloft Driftです。Salesloftは、8月8日に始まったデータ漏洩を認め、影響を受けたすべての顧客に通知しました。

脅威アクターUNC 6395がSalesloftからOAuthトークンをどのように取得したかは詳細に説明されていません。Salesloftは、デジタルフォレンジックおよびインシデント対応チームを雇用して事件を調査しており、Salesforceと協力して顧客に攻撃者の行動に関する詳細情報を提供しています。

Googleの脅威インテリジェンスグループ(GTIG)とMandiantセキュリティチームは、脅威アクターが多数の企業のSalesforceインスタンスから大量のデータを体系的に輸出したと報告しました。GTIGとMandiantは、どれだけのデータが流出したか、どの顧客が影響を受けたかについては言及していません。

すべてのアクティブなSalesloftアクセス トークンは取り消され、Driftアプリケーション用に更新されており、管理者はSalesforceとのサードパーティアプリ統合を再認証する必要があります。Salesforceは、調査中のSalesloft DriftをAppExchangeから削除しました。