Salesforce weigert in te gaan op afpersing na SalesLoft-datalek

In dit artikel:

Salesforce heeft klanten laten weten dat het geen losgeld zal betalen aan hackers die dreigen gestolen klantgegevens openbaar te maken. Volgens een interne mededeling, waar Bloomberg inzag, zijn er betrouwbare aanwijzingen dat de hackersgroep ShinyHunters van plan is de buit te delen. Salesforce weigert te onderhandelen en biedt getroffen klanten ondersteuning.

Het probleem ontstond niet door een kwetsbaarheid in Salesforce zelf, maar door een beveiligingsincident bij derde partij SalesLoft, specifiek diens Drift-app die is gekoppeld aan Salesforce voor geautomatiseerde klantcommunicatie. Tussen maart en juni hadden aanvallers toegang tot het GitHub-account van SalesLoft; daarbij werden tokens buitgemaakt die de Drift-integratie met Salesforce-omgevingen maakten. Vanuit die toegang wisten de aanvallers de AWS-omgeving van Drift binnen te dringen en OAuth-tokens van klantbedrijven te bemachtigen.

De gestolen data bestond vooral uit klantcontactgegevens en basisinformatie over IT-ondersteuning, maar in sommige gevallen zaten er ook toegangstokens en details over IT-configuraties bij. Die tokens gaven toegang tot gegevens bij honderden organisaties, onder andere Cloudflare, Zscaler, Palo Alto Networks, CyberArk, Rubrik, Nutanix, Ericsson en JFrog; de exacte impact verschilde per bedrijf (van CRM-velden tot supportcases of beperkte integratiegegevens).

Onderzoekers van Google Threat Intelligence Group waarschuwden in augustus al voor een grootschalige campagne die via de Drift-app gericht was op inloggegevens, wachtwoorden en database-tokens. SalesLoft riep gebruikers medio augustus op om hun toegangstokens te vernieuwen; het bedrijf heeft verder nog niet publiekelijk op het incident gereageerd.

Salesforce heeft de integraties met SalesLoft-technologie hersteld, met uitzondering van de Drift-app die voorlopig is uitgeschakeld. Het is nog onduidelijk hoeveel klanten uiteindelijk zijn geraakt. Voor organisaties is het een reminder dat gecompromitteerde ontwikkelaccounts en gestolen tokens langdurige, indirecte toegang tot systemen kunnen opleveren — daarom wordt het routinematig verversen van tokens en streng beheer van ontwikkelcredentials aangeraden.