Tenable a récemment confirmé une violation de données ayant exposé les informations de contact et les cas de support de certains de ses clients.
Selon la société, cet incident s’inscrit dans une campagne de vol de données plus large, ciblant une intégration entre Salesforce et l’application de marketing Salesloft Drift, touchant plusieurs organisations.
Dans une déclaration publique, Tenable a affirmé son engagement en faveur de la transparence et a détaillé l’ampleur de la violation. Une enquête a révélé qu’un utilisateur non autorisé avait accédé à une partie des informations clients stockées dans son environnement Salesforce.
Bien que les produits principaux de Tenable et les données qu’ils contiennent demeurent sécurisés, cet incident a suscité des préoccupations quant à la sécurité des intégrations d’applications tierces au sein des grandes plateformes professionnelles.
Données Exposées
Les informations auxquelles l’utilisateur non autorisé a eu accès étaient limitées aux données présentes dans l’environnement Salesforce de Tenable. Cela comprenait :
- Informations de contact professionnelles courantes, telles que noms de clients, adresses électroniques professionnelles et numéros de téléphone.
- Références régionales et localisation associées aux comptes clients.
- Sujets et descriptions initiales fournies par les clients lors de l’ouverture d’un dossier de support.
Tenable a noté qu’à ce jour, il n’existe aucune preuve indiquant que les attaquants ont activement exploité ces informations.
La violation chez Tenable n’était pas un acte isolé, mais s’inscrit dans une campagne sophistiquée que les experts en sécurité suivent de près. Cette campagne exploite en particulier une vulnérabilité dans l’intégration entre Salesforce et Salesloft Drift, une plateforme d’engagement commercial populaire.
Les cybercriminels ont utilisé ce vecteur pour exfiltrer des données des instances Salesforce de diverses entreprises utilisant les applications intégrées. Tenable a confirmé qu’elle faisait partie des nombreuses organisations touchées par cet effort coordonné.
Réponses et Mesures de Mitigation de Tenable
Dès la découverte de l’incident, Tenable a immédiatement pris des mesures pour sécuriser ses systèmes et protéger les données de ses clients. Voici les différentes actions entreprises :
- Tous les identifiants potentiellement compromis pour Salesforce, Drift et les intégrations associées ont été révoqués et remplacés.
- L’application Salesloft Drift, ainsi que toutes les applications qui y étaient intégrées, ont été désactivées et retirées de l’instance Salesforce de Tenable.
- L’entreprise a renforcé son environnement Salesforce et d’autres systèmes connectés pour prévenir d’éventuelles exploitations futures.
- Tenable a appliqué les Indicateurs de Compromis (IoCs) partagés par Salesforce et des experts en cybersécurité pour identifier et bloquer les activités malveillantes.
- Une surveillance continue de son Salesforce et d’autres solutions SaaS est en cours pour détecter toute exposition ou activité inhabituelle.
Tenable conseille à ses clients de rester vigilants et leur recommande de suivre les étapes proactives préconisées par Salesforce et les experts en sécurité pour sécuriser leurs propres systèmes.
Parmi les victimes confirmées de cette attaque de chaîne d’approvisionnement, on trouve :
- Palo Alto Networks : La société de cybersécurité a confirmé l’exposition d’informations de contact professionnelles ainsi que de données internes de ventes de sa plateforme CRM.
- Zscaler : La société de sécurité cloud a rapporté que des informations clients, y compris noms, coordonnées et certains contenus des dossiers de support, avaient été accédées.
- Cloudflare : Cloudflare a confirmé une violation de données où un acteur menaçant a accédé et volé des données clients dans l’instance Salesforce de l’entreprise.
Bon à savoir
- Les intégrations d’applications tierces sont souvent vulnérables aux attaques, soulignant l’importance d’une vigilance constante.
- La sécurité des données en entreprise nécessite une collaboration entre les acteurs de l’industrie pour partager des informations sur les menaces.
- Les entreprises doivent régulièrement revoir et ajuster leurs politiques de sécurité pour s’adapter à l’évolution des menaces.
Ce nouvel incident souligne une réalité essentielle : la sécurité des données est un défi collectif qui requiert un engagement de tous. À mesure que les cybermenaces évoluent, il est crucial pour les entreprises de rester alertes et proactives dans la protection de leurs systèmes et de leurs clients.