서드파티 통해 Salesforce 고객 데이터 대규모 유출

서드파티 앱을 통한 OAuth 토큰의 손상으로 인해 Salesforce 고객 관계 관리(CRM) 플랫폼의 인스턴스에서 대규모 데이터 유출이 발생했습니다. 이 공격은 알려지지 않은 위협 행위자에 의해 수행되었습니다.

문제가 된 서드파티 앱은 인공지능(AI)을 활용한 수익 오케스트레이션 플랫폼으로 설명되는 Salesloft Drift입니다. Salesloft는 8월 8일에 시작된 데이터 유출을 인정하고, 모든 영향을 받은 고객에게 이를 통보했습니다.

위협 행위자 UNC 6395가 Salesloft에서 OAuth 토큰을 어떻게 획득했는지는 자세히 설명되지 않았습니다. Salesloft는 디지털 포렌식 및 사건 대응 팀을 고용하여 사건을 조사하고 있으며, Salesforce와 협력하여 고객들에게 공격자의 행동에 대한 상세 정보를 제공하고 있습니다.

Google의 위협 정보 그룹(GTIG)과 Mandiant 보안 팀은 위협 행위자가 여러 기업의 Salesforce 인스턴스에서 대량의 데이터를 체계적으로 유출했다고 분석했습니다. GTIG와 Mandiant는 얼마나 많은 데이터가 유출되었는지, 어떤 고객이 영향을 받았는지에 대해 언급하지 않았습니다.

모든 활성 Salesloft 액세스 토큰은 취소 및 갱신되었으며, 관리자는 Salesforce와의 서드파티 앱 통합을 재인증해야 합니다. Salesforce는 조사 중인 Salesloft Drift를 AppExchange에서 제거했습니다.