Nube de Blog RSS
Seguir
El robo de datos generalizado apunta a instancias de Salesforce a través de Salesloft Drift.
El Grupo de Inteligencia de Amenazas de Google (GTIG) ha emitido una advertencia sobre una campaña generalizada de robo de datos por parte del actor UNC6395. La campaña, activa del 8 al 18 de agosto de 2025, se dirigió a instancias de clientes de Salesforce. UNC6395 explotó tokens OAuth comprometidos asociados con la aplicación de terceros Salesloft Drift. El actor exportó sistemáticamente grandes volúmenes de datos, apuntando principalmente a la recolección de credenciales. Específicamente, UNC6395 buscó información sensible como claves de acceso de AWS, contraseñas y tokens de Snowflake. Si bien UNC6395 intentó cubrir sus huellas eliminando trabajos de consulta, los registros permanecen disponibles para análisis forense. Salesloft ha revocado todos los tokens activos para la aplicación Drift y la ha eliminado del Salesforce AppExchange. Este incidente no se deriva de una vulnerabilidad dentro de la plataforma central de Salesforce. GTIG recomienda que las organizaciones que utilizan Drift con Salesforce consideren que sus datos han sido comprometidos y tomen medidas de remediación inmediatas. Estas medidas incluyen buscar y rotar cualquier secreto descubierto, restablecer contraseñas y endurecer los controles de acceso para las aplicaciones conectadas.