Palo Alto Networks a confirmat că date ale clienților și înregistrări de suport au fost accesate după ce atacatorii au utilizat tokenuri OAuth compromise obținute în urma breșei Salesloft Drift pentru a pătrunde în instanța lor Salesforce. Incidentul face parte dintr-un atac de tip lanț de aprovizionare ce a vizat sute de companii și a fost făcut public în ultima săptămână.
Având în vedere că sistemele cloud și integrările SaaS au devenit vitale în ultimii ani și au generat noi vectori de atac, acest caz urmează un tipar cunoscut: compromisele unui furnizor permit autorilor să atingă zeci sau sute de clienți. Palo Alto Networks afirmă că a izolat rapid problema, a dezactivat aplicația compromisă din mediul Salesforce și a restrâns impactul doar asupra CRM-ului lor, fără a afecta produsele, sistemele sau serviciile companiei. Investigația Unit 42 indică faptul că atacatorii au extras preponderent date de contact de business, înregistrări interne din conturile de vânzări și comentarii din cazurile de suport, iar firma informează direct clienții afectați.
Datele exfiltrate din cazurile de suport ar fi conținut doar informații de contact și comentarii text, nu fișiere sau atașamente tehnice. Totuși, campania urmărea în mod deliberat cazurile de suport pentru a identifica informații sensibile, tokenuri de autentificare, parole și secrete cloud, care ar fi permis pivotarea către alte servicii și furtul ulterior de date. Observațiile echipei de securitate arată că actorii au realizat exfiltrări în masă din obiectele Salesforce Account, Contact, Case și Opportunity, apoi au scanat datele în căutarea credențialelor, ștergând interogările pentru a-și acoperi urmele.
Printre secretele căutate s-au numărat chei de acces AWS (AKIA), tokenuri Snowflake, șiruri de autentificare VPN și SSO și termeni generici precum password, secret sau key. Aceste informații pot fi folosite pentru a compromite alte platforme cloud și, în final, pentru extorsiuni. Cercetările arată că atacatorii au folosit instrumente automate, cu user-agent-uri care sugerează scripturi Python personalizate, inclusiv python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce-Multi-Org-Fetcher/1.0 și Salesforce-CLI/1.0. Pentru a-și ascunde originea, au șters jurnalele și au folosit rețeaua Tor.
Palo Alto Networks a revocat tokenurile implicate și a rotit credențialele după incident. Compania recomandă clienților Salesloft Drift să trateze situația cu urgență: să examineze jurnalele Salesforce, ale furnizorilor de identitate și de rețea pentru posibile compromiteri; să verifice toate integrațiile Drift pentru conexiuni suspecte; să revoce și să rotească cheile de autentificare, credențialele și secretele; și să utilizeze instrumente automate, precum Trufflehog și Gitleaks, pentru a scana depozitele de cod în căutare de chei sau tokenuri încorporate. Dacă se confirmă exfiltrarea datelor, acestea trebuie verificate în mod special pentru prezența credențialelor.
Ca urmare a acestor descoperiri, Palo Alto Networks, Salesforce și Google au dezactivat integrările Drift în timp ce ancheta continuă pentru a stabili cum au fost sustrase tokenurile OAuth. Alte companii au fost afectate în același lanț de atac, inclusiv Zscaler și Google. De la începutul anului au existat multiple atacuri care vizau date din Salesforce, conectate la grupuri de extorsiune care foloseau fie vishing pentru a păcăli angajați să autorizeze aplicații malițioase, fie tokenuri OAuth furate pentru a descărca baze de date și a solicita răscumpărări. Google a raportat aceste atacuri încă din iunie, iar victimele asociate includ nume mari precum Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life și mai multe subsidiare LVMH: Louis Vuitton, Dior și Tiffany & Co. Analiștii rămân prudenți în privința conexiunilor directe între campanii; Google a precizat că nu existau dovezi concludente care să le lege la momentul raportării.
Articolul a fost actualizat la 2 septembrie 2025 pentru a reflecta faptul că breșa nu a cuprins fișe de suport complete, ci doar anumite câmpuri și comentarii text.
Elementele esențiale ale acestui caz sunt tokenurile OAuth compromise, obiectele Salesforce Account/Contact/Case/Opportunity și instrumentele Python folosite în exfiltrare. Aceste detalii ilustrează cum atacurile moderne combină compromiterea unor integrări third-party cu automatizare pentru a obține rapid volume mari de date. Un exemplu relevant: dacă o echipă de suport păstrează parole sau chei în comentarii de caz, expunerea acelor câmpuri poate conduce la breșe mult mai grave, astfel că rotirea rapidă a cheilor și scanarea codului pentru secrete sunt măsuri practice recomandate. Ce măsuri ai lua tu acum pentru a verifica dacă sistemele tale sunt afectate?
uh, parcă totul devine din ce în ce mai fragil… mă uit la chestia asta cu Salesforce și Drift și-mi aduc aminte de vremuri când aveam încredere că datele stau „în siguranță” într-un CRM. acum vezi cum niște tokenuri furate și niște scripturi automate dau iama în sute de firme. nu-s vreun expert, dar dacă aveți conturi legate de Drift verificați imediat webhook-urile, aplicațiile autorizate și history-ul OAuth; rotiți cheile, faceți revoce + audit de acces, și puneți scanare automată prin repo-urile de cod (trufflehog/gitleaks) — chiar nu e timp de pierdut. mi-e totuși trist că oamenii încă mai scriu parole sau chei în comentarii de caz… cine știe câte alte „scăpări” stau acolo. parcă totul merge mai repede spre haos, iar noi alergăm după stop-gap-uri. sigh.
daaa, fix chestia asta mă sperie, verificați tokenurile și rotiti tot ce e posibil asap
daaa, iarăși tokenuri furate, verificați imediat conexiunile OAuth.
uh, asta e nasol dar nu surprinde prea mult. dacă cineva ține chei/parole în comentarii de support… ok, e greșeala clasică. eu, dacă eram admin acum, făceam rapid chestii simple: revocam toate tokenurile OAuth legate de Drift/Salesloft, forțam rotație pentru chei AWS/Snowflake/VPN, verificam audit log-urile pentru activități anormale (și salvam copia aia offline), și rulam un scan automat gen trufflehog/gitleaks pe repo-uri + pe backup-uri. apoi aș pune alertă pe pattern-uri gen AKIA* sau tokenuri în jurnale, și aș bloca accesul din Tor/ips suspecte până la clarificare. da, si educație la suport: nu scrie parole în casuțe de ticket, pune link spre vault. cine știe… probabil e momentul sa rulezi un red team simplu, sa vezi cât de ușor scapi datele dintr-un caz. și, btw, log retention e esențial — dacă șterg jurnalele, ai nevoie de o sursă externă de truth. nu-i rocket science, dar multi nu fac.