Zscaler, une entreprise de cybersécurité, a émis un avertissement concernant une violation de données affectant ses clients. La violation provenait d’un compromis de son instance Salesforce à la suite d’une attaque de chaîne d’approvisionnement ciblant SalesLoft Drift. Les attaquants ont accédé à des jetons OAuth et de rafraîchissement, ce qui a facilité l’accès non autorisé à l’environnement Salesforce de Zscaler et l’exfiltration de données clients sensibles.
L’avis de ZSCaler stipule que le compromis de SalesLoft Drift, un agent de chat IA intégré à Salesforce, a conduit à l’exposition. Les attaquants ont exploité des jetons OAuth et de rafraîchissement volés pour accéder aux environnements Salesforce Customer Salesforce. La déclaration de Zscaler souligne que «les acteurs non autorisés ont eu accès aux informations d’identification de SalesLoft Drift de ses clients, y compris ZSCaler», notant en outre que ces informations d’identification «permettaient un accès limité à certaines informations Salesforce de Zscaler».
Les données exposées dans la violation comprennent une gamme d’informations client. Cela comprend les noms, les adresses e-mail professionnelles, les titres d’emploi, les numéros de téléphone, les détails régionaux ou de localisation et les licences de produits ZSCaler et les informations commerciales. La brèche a également exposé le contenu de certains cas de soutien. Zscaler a souligné que l’incident était isolé de son instance Salesforce et n’a affecté aucun produit, services ou infrastructures sous-jacents de Zscaler.
Bien que Zscaler n’a détecté aucune utilisation abusive des données exfiltrées, la société exhorte les clients à faire preuve de prudence. Il est conseillé aux clients d’être vigilants contre les attaques potentielles de phishing et d’ingénierie sociale qui pourraient tirer parti des informations exposées. Par mesure de précaution, Zscaler a révoqué toutes les intégrations de SalesLoft Drift avec son instance Salesforce et a fait tourner d’autres jetons API. Une enquête interne sur l’incident est actuellement en cours. Pour atténuer davantage les risques, ZSCaler a amélioré son protocole d’authentification client pour les appels de support pour empêcher les tentatives d’ingénierie sociale.
Google Threat Intelligence a identifié UNC6395 comme l’acteur de menace derrière les attaques. Cet acteur est connu pour cibler des informations d’identification sensibles, notamment les clés d’accès Amazon Web Services (AWS) (AKIA), les mots de passe et les jetons d’accès liés à Snowflake. Le rapport de Google a indiqué que «GTIG a observé UNC6395 ciblant les informations d’identification sensibles telles que les clés d’accès Amazon Web Services (AWS) (AKIA), les mots de passe et les jetons d’accès liés à Snowflake.» Le rapport a également mentionné que «UNC6395 a démontré une sensibilisation à la sécurité opérationnelle en supprimant les emplois de requête; cependant, les journaux n’ont pas été touchés, et les organisations devraient toujours examiner les journaux pertinents pour la preuve de l’exposition aux données.»
L’attaque de la chaîne d’approvisionnement de SalesLoft s’est étendue au-delà de l’intégration de Drift Salesforce. Il a également eu un impact sur Drift Email, un outil utilisé pour gérer les réponses par e-mail et organiser les bases de données CRM et d’automatisation du marketing. Les attaquants auraient exploité des jetons oauth volés pour accéder aux comptes de messagerie Google Workspace et lire des e-mails. Cet impact plus large a incité Google et Salesforce à désactiver temporairement leurs intégrations de dérive en attendant l’achèvement de l’enquête en cours.
Certains chercheurs ont suggéré une connexion potentielle entre le compromis SalesLoft Drift et les récentes attaques de vol de données Salesforce attribuées au groupe d’extorsion Shinyhunters. Les détails spécifiques de cette connexion sont toujours sous enquête, et des informations supplémentaires sont nécessaires pour confirmer tout lien direct entre ces incidents.
