Blog de nuage RSS
Suivre
Vol massif de données ciblant les instances Salesforce via Salesloft Drift
Le groupe d'intelligence menaces de Google (GTIG) a émis un avis concernant une campagne de vol de données à grande échelle menée par l'acteur UNC6395. La campagne, active du 8 août au 18 août 2025, a ciblé les instances clientes de Salesforce. UNC6395 a exploité des jetons OAuth compromis associés à l'application tierce Salesloft Drift. L'acteur a systématiquement exporté de grandes quantités de données, principalement pour récolter des informations d'identification. Plus spécifiquement, UNC6395 a recherché des informations sensibles comme des clés d'accès AWS, des mots de passe et des jetons Snowflake. Bien que UNC6395 ait tenté de couvrir ses traces en supprimant les travaux de requête, les journaux restent disponibles pour l'analyse forensique. Salesloft a révoqué tous les jetons actifs pour l'application Drift et l'a retirée de la plateforme d'applications Salesforce AppExchange. Cet incident ne découle pas d'une vulnérabilité au sein de la plateforme Salesforce de base. Le GTIG recommande que les organisations utilisant Drift avec Salesforce considèrent leurs données comme compromises et prennent des mesures de remédiation immédiates. Ces mesures incluent la recherche et la rotation de tous les secrets découverts, la réinitialisation des mots de passe et le durcissement des contrôles d'accès pour les applications connectées.