Η Palo Alto Networks επιβεβαιώνει παραβίαση που αφορά στοιχεία πελατών και αρχεία υποστήριξης

Τον περασμένο μήνα, χάκερ στόχευσαν το Salesloft Drift, μια υπηρεσία chatbot τεχνητής νοημοσύνης που χρησιμοποιείται για πωλήσεις και αλληλεπίδραση πελατών. Οι χάκερ κατάφεραν να εισέλθουν στα συστήματα των πελατών χρησιμοποιώντας κλεμμένα διακριτικά OAuth, τα οποία λειτουργούν ως κλειδιά ελέγχου ταυτότητας, παρέχοντάς τους πρόσβαση σε συνδεδεμένες παρουσίες Salesforce χωρίς να χρειάζονται κωδικό πρόσβασης.

Η Salesloft εντόπισε το πρόβλημα στις 20 Αυγούστου, οδηγώντας σε μια προσπάθεια απενεργοποίησης των παραβιασμένων tokens. Το Drift χρησιμοποιείται από χιλιάδες εταιρείες για πωλήσεις και εξυπηρέτηση πελατών, οπότε όπως μπορείτε να φανταστείτε, οι επιπτώσεις επηρέασαν σημαντικούς παίκτες όπως η Zscaler και τώρα η Palo Alto Networks.

Η Bleeping Computer αναφέρει ότι άκουσε για την παραβίαση από ανήσυχους πελάτες της Palo Alto Networks το Σαββατοκύριακο, οι οποίοι φοβόντουσαν ότι είχαν αποκαλυφθεί ευαίσθητες πληροφορίες από υποθέσεις υποστήριξης. Η εταιρεία ισχυρίστηκε ότι το Salesforce CRM ήταν το μόνο που επλήγη και ότι «περιόρισε το περιστατικό» γρήγορα:

Η Palo Alto Networks επιβεβαιώνει ότι ήταν ένας από τους εκατοντάδες πελάτες που επηρεάστηκαν από την εκτεταμένη επίθεση στην εφοδιαστική αλυσίδα που στόχευε την εφαρμογή Salesloft Drift και η οποία εξέθεσε δεδομένα της Salesforce.

Γρήγορα περιορίσαμε το περιστατικό και απενεργοποιήσαμε την εφαρμογή από το περιβάλλον Salesforce. Η έρευνά μας στη Μονάδα 42 επιβεβαιώνει ότι αυτή η κατάσταση δεν επηρέασε κανένα προϊόν, σύστημα ή υπηρεσία της Palo Alto Networks.

Ο εισβολέας απέσπασε κυρίως στοιχεία επικοινωνίας της επιχείρησης και σχετικά στοιχεία λογαριασμού, μαζί με εσωτερικά αρχεία λογαριασμών πωλήσεων και βασικά δεδομένα υποθέσεων. Βρισκόμαστε στη διαδικασία άμεσης ειδοποίησης τυχόν πελατών που επηρεάστηκαν.

Κάντε κλικ για περισσότερα...

Οι επιτιθέμενοι, με τον κλασικό τρόπο των χάκερ, αναζήτησαν πράγματα όπως συμβολοσειρές σύνδεσης VPN και SSO, διακριτικά Snowflake και κλειδιά πρόσβασης AWS. Χρησιμοποίησαν ακόμη και απλές λέξεις-κλειδιά όπως "κωδικός πρόσβασης" και "μυστικό".

Για να καλύψουν τα ίχνη τους, οι εισβολείς προσπάθησαν να κρυφτούν πίσω από το δίκτυο Tor και διέγραψαν τα αρχεία καταγραφής της δραστηριότητάς τους. Η Palo Alto Networks διαβεβαιώνει τους πελάτες ότι τα παραβιασμένα tokens έχουν ανακληθεί και τα διαπιστευτήρια έχουν εναλλαγεί.

Η εταιρεία συνιστά, με αυτό που αποκαλεί «άμεση επείγουσα ανάγκη», οι πελάτες του Drift να ελέγχουν τα συστήματά τους.

Οι προτεινόμενες ενέργειες περιλαμβάνουν την διερεύνηση των αρχείων καταγραφής του Salesforce και του δικτύου για τυχόν ενδείξεις παραβίασης, την ανάκληση και εναλλαγή όλων των κλειδιών ελέγχου ταυτότητας και τη σάρωση αποθετηρίων κώδικα για τυχόν ενσωματωμένα μυστικά.

Μπορείτε να δείτε αυτήν την περίληψη από την Palo Alto Networks για να μάθετε περισσότερα.