Компания Salesloft сообщила, что в марте была взломана её учетная запись на GitHub, что позволило хакерам украсть токены аутентификации. Эти токены затем использовались в масштабной атаке на нескольких крупных клиентов компании.
По данным расследования, проведённого подразделением реагирования на инциденты Google, злоумышленники получили доступ к учетной записи Salesloft на GitHub и вели разведывательные действия с марта по июнь. За это время они скачали содержимое нескольких репозиториев, добавили гостевого пользователя и настроили рабочие процессы.
Этот инцидент вызывает вопросы о безопасности компании, особенно учитывая, что на обнаружение взлома ушло около шести месяцев. В настоящее время ситуация считается локализованной.
После взлома GitHub-аккаунта хакеры получили доступ к облачной среде Amazon Web Services, используемой платформой Drift — маркетинговым инструментом на базе искусственного интеллекта и чат-бота. Это позволило им украсть OAuth-токены клиентов Drift. OAuth — стандарт, позволяющий одному приложению авторизовываться в другом, что обеспечивает интеграцию Drift с такими платформами, как Salesforce.
Используя украденные токены, злоумышленники получили доступ к данным нескольких клиентов Salesloft, включая Bugcrowd, Cloudflare, Google, Proofpoint, Palo Alto Networks и Tenable, среди прочих, многие из которых пока остаются неизвестными.
Группа Google по анализу угроз в конце августа раскрыла эту цепочку атак, связав её с хакерской группировкой UNC6395.
Известно, что за атакой стоит хакерская группа ShinyHunters, которая, предположительно, пытается вымогать у пострадавших, связываясь с ними напрямую. Основная цель злоумышленников заключалась в краже учетных данных, особенно ключей доступа AWS, паролей и токенов доступа к Snowflake.
Компания заявила, что интеграция с Salesforce уже восстановлена и работает в обычном режиме.
