Врезультате широкомасштабной атаки, начавшейся с Salesloft Drift, пострадали несколько компаний, работающих в сфере безопасности и технологий, включая Cloudflare , PagerDuty , Palo Alto Networks , SpyCloud и Zscaler .
Пострадавшие организации продолжают выступать с заявлениями, поскольку клиенты стороннего чат-агента на основе искусственного интеллекта ищут доказательства взлома или получают уведомления от Salesloft и других компаний, участвующих в реагировании, восстановлении и текущих расследованиях атак.
Первоначально Salesloft заявляла, что уязвимость была ограничена клиентами, интегрированными с Salesforce. Однако Google Threat Intelligence Group и Mandiant Consulting — компания Google по реагированию на инциденты, которая теперь сотрудничает с Salesloft — заявили, что любая платформа, интегрированная с Drift , потенциально скомпрометирована.
Основная причина атак, а именно то, как группа злоумышленников, отслеживаемая Google как UNC6395, получила первоначальный доступ к Salesloft Drift, остаётся неподтверждённой. «Нет никаких доказательств какой-либо необычной или вредоносной активности на платформе Salesloft», — заявила Salesloft в субботнем отчёте .
В понедельник компания заявила, что «Drift будет отключен в самое ближайшее время», что сделает платформу недоступной, а чат-бот Drift — недоступным на сайтах клиентов. «Это обеспечит самый быстрый способ комплексной проверки приложения и повышения уровня отказоустойчивости и безопасности системы для восстановления полной функциональности приложения», — добавила компания.
Компания Salesloft, которая приобрела Drift в феврале 2024 года, не отреагировала на просьбы прокомментировать ситуацию с тех пор, как на прошлой неделе впервые появились новости об атаках.
Компания объявила о соглашении о слиянии с Clari , конкурентом в сфере управления взаимоотношениями с клиентами, за день до начала атак 8 августа. В объявлении о слиянии объединенные компании заявили, что будут обслуживать более 5000 организаций по всему миру во всех отраслях.
Последствия атак вызвали всеобщую обеспокоенность, поскольку клиенты хотят получить ясность в отношении разворачивающейся катастрофы. Клиенты Salesloft оценивают, пострадали ли они, а затем анализируют данные, чтобы определить степень ущерба для себя или своих клиентов.
Атаки затронули не всех клиентов Salesloft Drift. Некоторые клиенты Salesloft Drift, с которыми связался CyberScoop, подтвердили свою непричастность к атакам и не обнаружили никаких доказательств компрометации корпоративных или клиентских данных.
Okta заявила, что инцидент её не затронул, но подтвердила, что она стала целью атаки, основываясь на индикаторах компрометации, которыми Google Threat Intelligence Group поделилась на прошлой неделе. «Злоумышленник пытался использовать скомпрометированный токен для доступа к нашему экземпляру Salesforce, но атака провалилась, поскольку соединение было установлено с неавторизованного IP-адреса», — сообщила компания во вторник в своём блоге .
Многим другим предприятиям повезло меньше.
Сэм Карри, директор по информационной безопасности компании Zscaler, заявил, что причиной несанкционированного доступа стала интеграция Salesloft Drift с Salesforce. Компания использовала Salesloft Drift, интегрированный с другими платформами, но они не пострадали, добавил он.
Были раскрыты данные большого количества клиентов Zscaler, включая имена, адреса электронной почты, должности, номера телефонов, сведения о местоположении, лицензионную и коммерческую информацию о продуктах Zscaler, а также простой текстовый контент из некоторых обращений в службу поддержки.
«Ни один продукт, ни одна услуга или инфраструктура не пострадали», — сказал Карри. «Мы ждём от Salesloft Drift и Salesforce информации о других результатах проверки, поскольку это произошло в их инфраструктуре».
Карри сообщил, что Zscaler уже находится в процессе разрыва отношений с Salesloft Drift по несвязанным с этим причинам.
Компания Palo Alto Networks во вторник подтвердила, что она также стала одной из сотен организаций, пострадавших от атаки на цепочку поставок. Подразделение 42, отвечающее за реагирование на инциденты, подтвердило, что инцидент ограничился средой Salesforce, добавив, что ни один из продуктов или сервисов Palo Alto Networks не пострадал.
«Большую часть украденных данных составляли контактные данные компании», — сообщил CyberScoop в электронном письме представитель Palo Alto Networks. «Однако у небольшого числа клиентов, которые включили конфиденциальную информацию, например, учётные данные, в свои недавние записи о краже, эти данные также могли быть скомпрометированы».
Cloudflare заявила, что любая информация, которой клиенты делятся со службой поддержки компании, включая логи, токены и пароли, должна считаться скомпрометированной. Компания заявила, что обнаружила в скомпрометированных данных 104 токена API Cloudflare и, хотя не нашла никаких признаков злоупотребления, в целях предосторожности провела ротацию токенов.
Компания также заявила, что ни одна из служб или инфраструктура Cloudflare не была скомпрометирована.
«Мы несем ответственность за выбор инструментов, которые используем для поддержки нашего бизнеса», — заявила группа руководителей службы безопасности Cloudflare в блоге во вторник. «Эта утечка подвела наших клиентов. Мы приносим за это искренние извинения».
Бывшие клиенты Salesloft Drift также пострадали. В сообщении в блоге, сообщающем о раскрытии некоторых данных из среды Salesforce, компания SpyCloud заявила, что ранее была клиентом Salesloft и Drift, но сейчас уже нет.
Ранее Google заявляла, что кампания по краже данных продолжалась в течение 10 дней в прошлом месяце и потенциально затронула более 700 организаций .
Пострадавшие организации продолжают выступать с заявлениями, поскольку клиенты стороннего чат-агента на основе искусственного интеллекта ищут доказательства взлома или получают уведомления от Salesloft и других компаний, участвующих в реагировании, восстановлении и текущих расследованиях атак.
Первоначально Salesloft заявляла, что уязвимость была ограничена клиентами, интегрированными с Salesforce. Однако Google Threat Intelligence Group и Mandiant Consulting — компания Google по реагированию на инциденты, которая теперь сотрудничает с Salesloft — заявили, что любая платформа, интегрированная с Drift , потенциально скомпрометирована.
Основная причина атак, а именно то, как группа злоумышленников, отслеживаемая Google как UNC6395, получила первоначальный доступ к Salesloft Drift, остаётся неподтверждённой. «Нет никаких доказательств какой-либо необычной или вредоносной активности на платформе Salesloft», — заявила Salesloft в субботнем отчёте .
В понедельник компания заявила, что «Drift будет отключен в самое ближайшее время», что сделает платформу недоступной, а чат-бот Drift — недоступным на сайтах клиентов. «Это обеспечит самый быстрый способ комплексной проверки приложения и повышения уровня отказоустойчивости и безопасности системы для восстановления полной функциональности приложения», — добавила компания.
Компания Salesloft, которая приобрела Drift в феврале 2024 года, не отреагировала на просьбы прокомментировать ситуацию с тех пор, как на прошлой неделе впервые появились новости об атаках.
Компания объявила о соглашении о слиянии с Clari , конкурентом в сфере управления взаимоотношениями с клиентами, за день до начала атак 8 августа. В объявлении о слиянии объединенные компании заявили, что будут обслуживать более 5000 организаций по всему миру во всех отраслях.
Последствия атак вызвали всеобщую обеспокоенность, поскольку клиенты хотят получить ясность в отношении разворачивающейся катастрофы. Клиенты Salesloft оценивают, пострадали ли они, а затем анализируют данные, чтобы определить степень ущерба для себя или своих клиентов.
Атаки затронули не всех клиентов Salesloft Drift. Некоторые клиенты Salesloft Drift, с которыми связался CyberScoop, подтвердили свою непричастность к атакам и не обнаружили никаких доказательств компрометации корпоративных или клиентских данных.
Okta заявила, что инцидент её не затронул, но подтвердила, что она стала целью атаки, основываясь на индикаторах компрометации, которыми Google Threat Intelligence Group поделилась на прошлой неделе. «Злоумышленник пытался использовать скомпрометированный токен для доступа к нашему экземпляру Salesforce, но атака провалилась, поскольку соединение было установлено с неавторизованного IP-адреса», — сообщила компания во вторник в своём блоге .
Многим другим предприятиям повезло меньше.
Сэм Карри, директор по информационной безопасности компании Zscaler, заявил, что причиной несанкционированного доступа стала интеграция Salesloft Drift с Salesforce. Компания использовала Salesloft Drift, интегрированный с другими платформами, но они не пострадали, добавил он.
Были раскрыты данные большого количества клиентов Zscaler, включая имена, адреса электронной почты, должности, номера телефонов, сведения о местоположении, лицензионную и коммерческую информацию о продуктах Zscaler, а также простой текстовый контент из некоторых обращений в службу поддержки.
«Ни один продукт, ни одна услуга или инфраструктура не пострадали», — сказал Карри. «Мы ждём от Salesloft Drift и Salesforce информации о других результатах проверки, поскольку это произошло в их инфраструктуре».
Карри сообщил, что Zscaler уже находится в процессе разрыва отношений с Salesloft Drift по несвязанным с этим причинам.
Компания Palo Alto Networks во вторник подтвердила, что она также стала одной из сотен организаций, пострадавших от атаки на цепочку поставок. Подразделение 42, отвечающее за реагирование на инциденты, подтвердило, что инцидент ограничился средой Salesforce, добавив, что ни один из продуктов или сервисов Palo Alto Networks не пострадал.
«Большую часть украденных данных составляли контактные данные компании», — сообщил CyberScoop в электронном письме представитель Palo Alto Networks. «Однако у небольшого числа клиентов, которые включили конфиденциальную информацию, например, учётные данные, в свои недавние записи о краже, эти данные также могли быть скомпрометированы».
Cloudflare заявила, что любая информация, которой клиенты делятся со службой поддержки компании, включая логи, токены и пароли, должна считаться скомпрометированной. Компания заявила, что обнаружила в скомпрометированных данных 104 токена API Cloudflare и, хотя не нашла никаких признаков злоупотребления, в целях предосторожности провела ротацию токенов.
Компания также заявила, что ни одна из служб или инфраструктура Cloudflare не была скомпрометирована.
«Мы несем ответственность за выбор инструментов, которые используем для поддержки нашего бизнеса», — заявила группа руководителей службы безопасности Cloudflare в блоге во вторник. «Эта утечка подвела наших клиентов. Мы приносим за это искренние извинения».
Бывшие клиенты Salesloft Drift также пострадали. В сообщении в блоге, сообщающем о раскрытии некоторых данных из среды Salesforce, компания SpyCloud заявила, что ранее была клиентом Salesloft и Drift, но сейчас уже нет.
Ранее Google заявляла, что кампания по краже данных продолжалась в течение 10 дней в прошлом месяце и потенциально затронула более 700 организаций .
