A empresa de cybersecurity Zscaler alertou que sofreu um data breach após agentes maliciosos obterem acesso à sua instância do Salesforce e roubarem informações de clientes, incluindo o conteúdo de casos de suporte.
Esse alerta ocorre após o comprometimento do Salesloft Drift, um agente de chat com inteligência artificial que se integra ao Salesforce, no qual os atacantes roubaram tokens OAuth e refresh tokens, permitindo que acessassem os ambientes Salesforce dos clientes e exfiltrassem dados sensíveis.
Em um advisory, a Zscaler afirmou que sua instância do Salesforce foi impactada por esse ataque de supply-chain, expondo informações dos clientes.
“Como parte dessa campanha, agentes não autorizados obtiveram acesso às credenciais do Salesloft Drift de seus clientes, incluindo a Zscaler”, diz o advisory da empresa.
“Após uma revisão detalhada durante nossa investigação em andamento, determinamos que essas credenciais permitiram acesso limitado a algumas informações do Salesforce da Zscaler.”
As informações expostas incluem:
- Nomes
- Endereços de e-mail corporativos
- Cargos
- Números de telefone
- Detalhes regionais/localização
- Informações comerciais e de licenciamento dos produtos Zscaler
- Conteúdo de certos casos de suporte
A empresa ressalta que o data breach impacta apenas sua instância do Salesforce, e não seus produtos, serviços ou infraestrutura.
Embora a Zscaler afirme não ter detectado uso indevido dessas informações, recomenda que os clientes mantenham vigilância redobrada contra possíveis ataques de phishing e engenharia social que possam explorar esses dados.
Além disso, a empresa afirma ter revogado todas as integrações do Salesloft Drift com sua instância do Salesforce, rotacionado outros tokens de API e estar conduzindo uma investigação sobre o incidente.
A Zscaler também reforçou seu protocolo de autenticação para atendimento ao cliente, a fim de se proteger contra ataques de engenharia social durante chamadas de suporte.
A Google Threat Intelligence avisou na semana passada que um threat actor, identificado como UNC6395, está por trás dos ataques, roubando casos de suporte para coletar tokens de autenticação, senhas e segredos compartilhados por clientes ao solicitar atendimento.
“O GTIG observou que o UNC6395 está mirando credenciais sensíveis, como Amazon Web Services (AWS) access keys (AKIA), senhas e tokens de acesso relacionados ao Snowflake”, reporta a Google.
UNC6395 demonstrou cuidado operacional apagando jobs de query; no entanto, os logs não foram afetados e as organizações devem revisar os logs relevantes em busca de evidências de exposição de dados.
Posteriormente, foi revelado que o ataque de supply-chain ao Salesloft impactou não só a integração do Drift com Salesforce, mas também o Drift Email, usado para gerenciar respostas por e-mail e organizar bancos de dados de CRM e automação de marketing.
A Google alertou que os atacantes também usaram tokens OAuth roubados para acessar contas de e-mail do Google Workspace e ler mensagens como parte dessa violação.
Google e Salesforce desabilitaram temporariamente suas integrações com o Drift até a conclusão das investigações.
Alguns pesquisadores informaram ao BleepingComputer que acreditam que o comprometimento do Salesloft Drift está relacionado aos recentes ataques de roubo de dados do Salesforce realizados pelo grupo de extorsão ShinyHunters.
Desde o início do ano, esses threat actors vêm realizando ataques de engenharia social para invadir instâncias do Salesforce e baixar dados.
Durante esses ataques, os invasores utilizam voice phishing (vishing) para enganar funcionários a vincularem um aplicativo OAuth malicioso às instâncias do Salesforce de suas empresas.
Uma vez conectado, os invasores utilizam essa ligação para baixar e roubar bancos de dados, que depois são usados para extorquir as empresas por meio de e-mails.
Desde que a Google reportou os ataques em junho, diversas violações de dados foram associadas a esses ataques de engenharia social, incluindo gigantes como Google, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life e as subsidiárias da LVMH Louis Vuitton, Dior e Tiffany & Co.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...