8月底Salesloft Drift供應鏈攻擊事故爆發,導致有許多採用此對話式行銷與客戶互動工具的企業組織,例如資安業者Cloudflare、Palo Alto Networks、Zscaler,他們的雲端CRM系統Salesforce面臨資料外洩的危機,Salesloft與Salesforce兩家公司也撤銷Drift所有的憑證,並自Salesforce AppExchange應用程式市集下架該應用程式,介入調查的Google威脅情報團隊(GTIG)與資安業者Mandiant也透露初步調查結果,駭客組織UNC6395自8月8日開始竊取Drift的OAuth憑證,而能從多家企業截取Salesforce存放的客戶資料,如今這起事故的調查出現新的進展。
9月7日Salesloft揭露更多調查結果,指出駭客從今年的3月至6月,試圖存取該公司的GitHub儲存庫,從而能從中下載資料、新增訪客使用者,甚至建立工作流程。這段期間,駭客也試圖在Salesloft與Drift的環境當中進行偵察,最終他們入侵Drift使用的AWS環境,竊得Drift客戶的OAuth憑證,從客戶的環境存取經過Drift整合的資料。
察覺遭到網路攻擊之後,Salesloft隨即採取多項應變措施,遏止及根除相關活動。其中,他們隔離了Drift基礎設施、應用程式,以及程式碼,從市集下架應用程式,並輪替受影響的金錀。
而對於Salesloft自己本身的應用環境當中,該公司也同樣輪替了金鑰,根據駭客手法強化防護,利用Mandiant威脅情報平臺分析事件相關的高風險身分,以及規避公司安全控管的活動,判斷是否仍有潛在危險,並進行威脅獵捕工作。
值得留意的是,8月28日GTIG與Mandiant指出,有部分Google Workspace企業用戶受到影響,根據SaaS資安業者Nudge Security的調查,估計至少有超過750家企業組織受到影響,後續發展有待進一步追蹤。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
