Массовая кража данных нацелена... Заметка
RSS Блог об облаках

Массовая кража данных нацелена на экземпляры Salesforce через Salesloft Drift

Группа Google по анализу угроз (GTIG) выпустила предупреждение о широкомасштабной кампании по краже данных, проводимой злоумышленником UNC6395. Кампания, активная с 8 по 18 августа 2025 года, была направлена на экземпляры клиентов Salesforce. UNC6395 использовал скомпрометированные токены OAuth, связанные со сторонним приложением Salesloft Drift. Злоумышленник систематически экспортировал большие объемы данных, в первую очередь с целью получения учетных данных. В частности, UNC6395 искал конфиденциальную информацию, такую как ключи доступа AWS, пароли и токены Snowflake. Хотя UNC6395 пытался замести следы, удалив задания запросов, журналы остаются доступными для судебно-медицинской экспертизы. Salesloft отозвал все активные токены для приложения Drift и удалил его из Salesforce AppExchange. Этот инцидент не связан с уязвимостью в основной платформе Salesforce. GTIG рекомендует организациям, использующим Drift с Salesforce, считать свои данные скомпрометированными и принять немедленные меры по устранению последствий. Эти меры включают поиск и замену всех обнаруженных секретов, сброс паролей и усиление контроля доступа для подключенных приложений.