Hackers stelen klantgegevens bij Zscaler via Salesloft-lek

In dit artikel:

Zscaler meldt dat criminelen via een gehackte Salesloft Drift-integratie toegang kregen tot hun Salesforce-omgeving en daar gevoelige klantinformatie en supportdossiers hebben buitgemaakt. Onder de geroofde gegevens vallen namen, e-mailadressen, functies, telefoonnummers en locatiedata, maar ook productlicentiegegevens, commerciële informatie en inhoud van bepaalde supportcases. Het bedrijf benadrukt dat de aanval beperkt bleef tot Salesforce en geen Zscaler-producten of interne infrastructuur trof.

De aanvallers misbruikten eerder gehackte Salesloft Drift-accounts om OAuth- en refresh-tokens te stelen, waarmee zij rechten voor Salesforce-toegang konden verkrijgen. Google Threat Intelligence wees de groep toe aan UNC6395; die zocht specifiek naar gedeelde AWS-sleutels, wachtwoorden en Snowflake-tokens in supportverzoeken. Hoewel sommige sporen werden gewist, maakten logbestanden reconstructie van de aanval mogelijk. Verder onderzoek liet zien dat ook Salesloft’s e-maildienst was gecompromitteerd, waarna Google en Salesforce de Drift-integraties tijdelijk uitschakelden.

Deze inbraak past in een grotere golf van Salesforce-gerichte supply-chain- en social-engineering-aanvallen deze zomer, waarbij onder meer Google, Cisco, Air France-KLM, Adidas en merken van LVMH werden getroffen. De tactiek omvat vaak voice phishing om medewerkers zover te krijgen malafide OAuth-applicaties te koppelen; zo kunnen aanvallers vervolgens data downloaden en bedrijven afpersen. Sommige onderzoekers zien overeenkomsten met de extortiecampagne van ShinyHunters.

Als tegenmaatregelen heeft Zscaler alle Salesloft Drift-integraties ingetrokken, API-tokens gereset en de verificatie bij supportverzoeken aangescherpt. Klanten worden gewaarschuwd alert te blijven op phishing en social engineering; verder advies is onder meer het roteren van credentials, beperken van OAuth-machtigingen en nauwkeurige logmonitoring.