Workiva a anunțat clienții că anumite informații au fost sustrase după ce atacatori au obținut acces la sistemul CRM al unui furnizor terț. Compania oferă un serviciu cloud pentru raportări financiare, conformitate și audit, și deservește mii de clienți, inclusiv multe companii mari din lista Fortune 500.
Workiva, care avea 6.305 clienți la sfârșitul anului trecut și venituri de 739 milioane dolari în 2024, a comunicat că atacatorii au exfiltrat un set limitat de informații de contact de business: nume, adrese de email, numere de telefon și conținut din ticket-urile de suport. Compania a subliniat că platforma Workiva și datele stocate direct în ea nu au fost compromise; incidentul s-a produs din cauza accesului neautorizat la CRM-ul unui furnizor, printr-o aplicație conectată. Clienții vizați au fost sfătuiți să rămână precauți, deoarece datele furate pot fi folosite în atacuri de tip spear-phishing. Workiva a mai menționat că nu va cere parole sau alte detalii sensibile prin SMS sau telefon și că toate comunicările oficiale vin prin canalele obișnuite de suport.
Lista clienților Workiva include companii importante precum Google, T-Mobile, Delta Air Lines, Wayfair, Hershey, Slack, Cognizant, Santander, Nokia, Kraft Heinz, Wendy’s, Paramount, Air France KLM sau Mercedes-Benz. Având în vedere această acoperire, riscul ca informațiile furate să fie folosite pentru a ținti persoane din organizații mari a crescut, chiar dacă impactul direct asupra platformei a fost negat.
Surse jurnalistice au asociat acest incident cu un val mai larg de breșe pe Salesforce implicând grupul de extorcare ShinyHunters. Recent, mai multe companii mari au raportat acces neautorizat la instanțele lor Salesforce, iar Cloudflare a anunțat că a fost nevoită să revoce 104 tokenuri emise de platforma sa după ce au fost compromise de același grup. Tacticile atacatorilor au variat: de la vishing, apeluri sau mesaje care manipulează angajații să dezvăluie acces, până la folosirea tokenurilor OAuth furate pentru integrări terțe, precum cea dintre Salesloft și Drift AI, cu care au pătruns în instanțe Salesforce pentru a extrage informații sensibile din mesaje și ticket-uri de suport.
ShinyHunters a vizat în ultimele luni companii precum Google, Cisco, Allianz Life, Farmers Insurance, Workday, Qantas, Adidas și mai multe filiale ale grupului LVMH, inclusiv Dior, Louis Vuitton și Tiffany & Co. Metoda recentă, bazată pe tokenuri OAuth furate, a permis extragerea nu doar de date din CRM, ci și de secrete, cum ar fi parole, chei de acces AWS sau tokenuri Snowflake în anumite cazuri. De asemenea, atacatorii au reușit să acceseze un număr mic de conturi Google Workspace și să compromită instanțele Salesforce ale unor companii din domeniul securității cibernetice, precum Zscaler și Palo Alto Networks.
Contextul mai larg arată o tendință: atacatorii din ultimul an au perfecționat tehnicile de acces lateral prin servicii terțe și integrații, transformând aplicațiile de suport și instrumentele de colaborare în puncte de intrare pentru date sensibile. Pentru organizații, concluzia este clară: controlul accesului, monitorizarea tokenurilor și verificările de securitate la nivelul furnizorilor terți devin esențiale.
Workiva este acum un exemplu în care platforma principală rămâne neafectată, dar un vector extern compromite informații asociate clienților. Din cifrele menționate, 6.305 clienți și 739 milioane dolari venituri în 2024, reiese expunerea potențială atunci când furnizorii terți sunt vizați. Alte companii afectate de valul ShinyHunters confirmă că nu este un caz izolat, iar rechemarea de tokenuri de către Cloudflare demonstrează cât de rapid pot fi impactate serviciile critice.
Workiva recomandă prudență în fața comunicărilor neobișnuite și reafirmă utilizarea canalelor oficiale pentru solicitările legate de securitate. Multe organizații revizuiesc acum fluxurile de autorizare pentru aplicațiile terțe și politicile de gestionare a tokenurilor pentru a reduce expunerea.
Datele extrase, deși limitate la contacte și conținut de suport, pot ajuta atacatorii să pregătească atacuri foarte bine direcționate. În plus, combinația dintre vishing și abuzul de tokenuri OAuth arată că actorii rău intenționați îmbină metode vechi și noi pentru a ocoli măsurile standard de securitate. Aceasta diminuează eficiența unor protecții bazate exclusiv pe firewall sau parole, astfel accentul se îndreaptă spre autentificare multifactor, rotația tokenurilor și auditul accesului la aplicațiile terțe.
Exemplul Workiva și incidentele legate de Salesforce și ShinyHunters ilustrează că infrastructura modernă, bazată pe integrări și API-uri, necesită supraveghere continuă. Datele concrete, 6.305 clienți, 739 milioane dolari venituri, 104 tokenuri revocate de Cloudflare, oferă repere utile pentru companii care își evaluează riscurile. Monitorizarea activă a conturilor de suport, instruirea echipelor în privința vishing-ului și proceduri clare de reacție la incidente rămân pași practici și eficienți pentru reducerea riscului.
Workiva, Cloudflare, Zscaler, Palo Alto Networks și celelalte nume menționate confirmă un pattern: țintele pot fi atât marile platforme, cât și punctele lor de interconectare. Asta înseamnă că responsabilitatea pentru securitate nu mai revine doar echipei IT interne, ci și furnizorilor și partenerilor. Ce măsuri concrete crezi că ar trebui implementate imediat în companii ca Workiva sau în organizațiile care folosesc Salesforce pentru a diminua astfel de expuneri?
Fii primul care comentează