Des hackers ont dérobé des identifiants d’utilisateurs de clients de Salesforce lors d’une campagne à grande échelle plus tôt ce mois-ci, d’après des chercheurs du Google Threat Intelligence Group, qui ont averti que ces vols pourraient entraîner des attaques ciblées par la suite.
Un acteur malveillant, suivi par Google sous le nom de UNC6395, se serait attaqué aux instances de Salesforce en utilisant des jetons OAuth compromis, associés à l’agent de chat Drift AI du fournisseur de solutions d’engagement client Salesloft.
Les chercheurs estiment que l’objectif principal des hackers était de recueillir des identifiants, car de grandes quantités de données ont été volées sur de nombreuses instances de Salesforce.
Austin Larsen, analyste principal des menaces chez Google, a déclaré à Cybersecurity Dive que son équipe avait identifié plus de 700 organisations potentiellement touchées. “L’acteur malveillant a utilisé un outil Python pour automatiser le processus de vol de données pour chaque organisation ciblée.”
Selon les chercheurs, les attaques n’ont pas impliqué de vulnérabilités sur la plateforme Salesforce.
Après avoir volé les données, les hackers ont cherché des identifiants sensibles, y compris des clés d’accès et des mots de passe pour Amazon Web Services, ainsi que des jetons d’accès pour la plateforme cloud Snowflake.
Les attaques ont principalement eu lieu entre le 8 et le 18 août. Le 20 août, Salesloft a commencé à collaborer avec Salesforce pour révoquer tous les jetons d’accès et de rafraîchissement actifs de Drift, selon Google.
Salesloft a émis une alerte de sécurité le 20 août, demandant aux administrateurs de Drift de réauthentifier leurs connexions Salesforce.
Dans une déclaration faite mardi, Salesforce a indiqué que ses équipes de sécurité avaient détecté une activité inhabituelle qui pourrait avoir conduit à un accès non autorisé à un petit nombre d’instances de clients.
La société a retiré Salesloft Drift de son marché AppExchange en attendant une enquête plus approfondie.
Salesforce a précisé : “Nous continuons à travailler avec Salesloft dans le cadre de notre enquête et fournirons des mises à jour appropriées, y compris en informant et en soutenant les clients affectés dans leur remédiation.”
Les hackers ont montré une certaine conscience des bonnes pratiques de sécurité opérationnelle en supprimant des travaux de requêtes. Toutefois, cette activité n’a pas eu d’impact direct sur les journaux d’événements, incitant ainsi Google à recommander aux équipes de sécurité de vérifier leurs journaux pour déceler toute preuve d’exposition des données.
Les utilisateurs ayant été notifiés d’une compromission par Salesforce ou Salesloft devraient suivre les recommandations de Mandiant sur les mesures à prendre, a déclaré Charles Carmakal, CTO de Mandiant Consulting, dans un post LinkedIn.
Les chercheurs ont recommandé aux organisations de considérer leurs données Salesforce comme compromises si elles utilisaient Drift dans leur instance Salesforce. Les entreprises touchées devraient révoquer les clés API, changer les identifiants et renforcer les contrôles d’accès.
Bon à savoir
- Il est essentiel de pratiquer une gestion rigoureuse des accès sur vos plateformes cloud.
- La sensibilisation à la sécurité des informations doit être renforcée au sein des équipes, surtout lorsqu’elles utilisent des intégrations tierces.
- Un suivi régulier des journaux d’activité peut aider à détecter des comportements suspects rapidement.
Il est évident que les cybermenaces évoluent constamment et que les entreprises doivent s’adapter pour protéger leurs données sensibles. Cette situation soulève des questions importantes sur la responsabilité des fournisseurs de solutions tierces et sur la manière dont les organisations peuvent se prémunir contre de tels incidents. Quelles mesures peuvent être mises en place pour renforcer la sécurité tout en maintenant l’efficacité des opérations ?
Cette situation souligne l’importance d’une vigilance constante. Les entreprises doivent sensibiliser leurs équipes à la sécurité, surtout avec les intégrations tierces. La collaboration est clé pour éviter de tels incidents !
C’est vraiment inquiétant de voir à quel point les hackers peuvent exploiter des failles dans des outils que beaucoup trouvent fiables. On doit tous apprendre à mieux sécuriser nos données !
Julien, cet article met bien en lumière un sujet grave ! La sécurité des données mérite toute notre attention, surtout en période de cybermenaces. Bravo pour l’info !