Νωρίτερα σήμερα, αναφέραμε ότι η Palo Alto Networks έπεσε θύμα επίθεσης στην εφοδιαστική αλυσίδα, όπου χάκερ χρησιμοποίησαν κλεμμένα OAuth tokens από το Salesloft Drift AI chatbot για να εισέλθουν σε συνδεδεμένους λογαριασμούς Salesforce.
Τώρα, η Cloudflare εξέδωσε μια ανακοίνωση λέγοντας ότι δέχτηκε το ίδιο ακριβώς χτύπημα μεταξύ 12 Αυγούστου και 17 Αυγούστου και ότι θα πρέπει να αντιμετωπίζετε τυχόν πληροφορίες που έχετε κοινοποιήσει στις ομάδες υποστήριξής της ως παραβιασμένες. Αυτό σημαίνει ότι τυχόν αρχεία καταγραφής, διακριτικά ή κωδικοί πρόσβασης που κοινοποιούνται σε αιτήματα υποστήριξης βρίσκονται ενδεχομένως στα χέρια των εισβολέων.
Σύμφωνα με την Cloudflare, καμία από τις υπηρεσίες ή τις υποδομές της δεν επηρεάστηκε και έχει επικοινωνήσει απευθείας με όλους τους πελάτες που επηρεάστηκαν. Όπως και με την Palo Alto Networks, η Cloudflare ισχυρίζεται ότι η παραβίαση περιορίστηκε στο περιβάλλον Salesforce, εκθέτοντας «βασικά δεδομένα υποστήριξης» και «στοιχεία επικοινωνίας πελατών».
Ωστόσο, ενδέχεται να υπάρχουν περιπτώσεις όπου οι αλληλεπιδράσεις υποστήριξης περιέχουν ευαίσθητες λεπτομέρειες διαμόρφωσης, όπως διακριτικά πρόσβασης, εξ ου και η συμβουλή για άμεση εναλλαγή τυχόν διαπιστευτηρίων που κοινοποιούνται μέσω αυτού του καναλιού. Η Cloudflare αναφέρει επίσης ότι δεν βρήκε «καμία ύποπτη δραστηριότητα» μετά από αναζήτηση των παραβιασμένων δεδομένων για διακριτικά ή κωδικούς πρόσβασης, αλλά ανακάλυψε και εναλλάσσει 104 διακριτικά API Cloudflare από υπερβολική προσοχή.
Στην ανάρτησή της στο ιστολόγιο , η Cloudflare εξήγησε τη σχέση της με την Salesforce, την οποία χρησιμοποιεί για την παρακολούθηση των πελατών της και τη διαχείριση των αλληλεπιδράσεων υποστήριξης. Η εταιρεία χρησιμοποίησε την ενσωμάτωση Salesloft Drift, την οποία προσφέρει η Salesforce ως τρόπο επικοινωνίας μεταξύ των επισκεπτών του ιστότοπου.
Οι επιτιθέμενοι εκμεταλλεύτηκαν αυτήν τη σύνδεση για να εισέλθουν σε «υποθέσεις» της Salesforce που επιτρέπουν στους υπαλλήλους της Cloudflare να επικοινωνούν με τους πελάτες. Οι χάκερ μπόρεσαν να έχουν πρόσβαση στο θέμα της υπόθεσης, στο κυρίως μέρος της αλληλογραφίας και στα στοιχεία επικοινωνίας των πελατών, όπως το όνομα της εταιρείας, τη διεύθυνση email και τον αριθμό τηλεφώνου. Η επίθεση απέσπασε μόνο δεδομένα που περιείχαν μόνο κείμενο. Δεν έγινε πρόσβαση σε συνημμένα αρχεία.
Το Cloudflare συμβουλεύει τους χρήστες να αποσυνδέσουν όλες τις συνδέσεις Salesloft από το περιβάλλον Salesforce και να απεγκαταστήσουν οποιοδήποτε σχετικό λογισμικό ή επεκτάσεις προγράμματος περιήγησης. Η εταιρεία συνιστά επίσης την εναλλαγή των διαπιστευτηρίων για όλες τις εφαρμογές τρίτων που είναι συνδεδεμένες με την παρουσία Salesforce και την εφαρμογή ενός τακτικού προγράμματος εναλλαγής για τα κλειδιά API.
Είναι καλή ιδέα να ελέγξετε τα δεδομένα προηγούμενων υποθέσεων υποστήριξης για να εντοπίσετε ποιες ευαίσθητες πληροφορίες ενδέχεται να έχουν εκτεθεί. Εάν είστε πελάτης του Cloudflare, μπορείτε να το κάνετε ελέγχοντας το ιστορικό υποθέσεων υποστήριξης στον πίνακα ελέγχου στην ενότητα Υποστήριξη > Τεχνική Υποστήριξη > Οι δραστηριότητές μου, όπου μπορείτε επίσης να κατεβάσετε τις υποθέσεις σας για μια ολοκληρωμένη αξιολόγηση.
