針對Salesloft旗下的對話行銷暨客戶互動平臺Drift傳出的供應鏈攻擊事故,駭客組織UNC6395自8月8日至18日,透過竊得的應用程式OAuth憑證(Token),成功存取並匯出多家企業的Salesforce資料,繼8月底資安業者Zscaler證實受害,本週又有兩家資安業者發布聲明,表示他們也面臨資料外洩的情況。
9月2日Cloudflare、Palo Alto Networks發布聲明表示,兩家公司都受到Salesloft Drift漏洞影響,導致外部人士能存取他們的Salesforce系統。不過,這兩家公司也強調,這起事故主要影響的是客戶聯絡資訊,他們旗下的產品或服務並未受到波及。
Cloudflare表示他們上週接獲通報,由於該公司的Salesforce系統主要用於客戶支援,以及內部的客戶案件管理,大部分的資料是客戶聯絡資訊及基本的支援案例資料,但部分互動內容有可能會洩露客戶的配置資訊,甚至可能包含憑證等敏感資料。對此,他們認為客戶在尋求支援過程裡提供的事件記錄、憑證、密碼等資料,都應視為已經外洩,強烈要求用戶輪換相關憑證。
此外,該公司也對此事著手調查,找到104個可能受到影響的API憑證,並表示雖然他們並未發現用於可疑活動,但為求謹慎皆已經進行輪替。Cloudflare也通知資料受到損害的客戶,強調他們的服務或基礎架構並未受到損害。該公司也透露調查事故的過程與方法。
同日Palo Alto Networks也發出聲明,證實他們也是遭到供應鏈攻擊影響的客戶,導致該公司Salesforce系統的資料外洩。Palo Alto Networks迅速控制事件,並從Salesforce環境停用了Salesloft Drift。根據該公司的威脅情報團隊Unit 42進行調查後確認,這起事故並未影響Palo Alto Networks任何產品、系統,以及服務。攻擊者主要竊取了業務聯絡人和相關帳戶資訊,以及內部銷售帳號記錄和基本案件數據。該公司正在通知所有受影響的客戶。
針對這起事故,Unit 42也發布部落格文章透露調查結果,指出駭客企圖從Salesforce物件大量洩露敏感資料,這些包含帳號、聯絡人、案件、機會(Opportunity)的紀錄,並積極從竊得資料挖掘帳密資料,以便發展進一步攻擊,或是延伸存取範圍。在此同時,駭客還刪除查詢記錄,抹除作案行蹤。對於其他採用Drift與Salesforce整合的企業組織,Unit 42也列出因應措施,呼籲IT人員儘速處理。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
