São Paulo — InkDesign News — Um ataque à cadeia de suprimentos impactou diversos clientes do Salesloft, resultando na exposição de dados sensíveis devido ao furto de tokens de autenticação do Salesforce. A gravidade das violações ainda está sendo avaliada.
Vetor de ataque
Entre 8 e 18 de agosto, o ator de ameaça UNC6395 acessou o produto de software como serviço Drift da Salesloft, explorando tokens OAuth e refresh de sua integração com o Salesforce. Esse vetor de ataque permitiu a movimentação lateral em ambientes de clientes do Salesloft, culminando no roubo de dados. A Google revelou que as indústrias afetadas devem tratar qualquer token de autenticação conectado à plataforma Drift como possivelmente comprometido.
Impacto e resposta
A Salesloft revogou os tokens ativos, e o Salesforce desabilitou todas as integrações até nova ordem. Empreendedores como Zscaler e Palo Alto Networks reportaram vazamentos consequentes, e empresas como Cloudflare e Tenable confirmaram que dados sensíveis podem ter sido acessados. A Zscaler citou informações como nomes, endereços de negócios, e dados de licença de produtos. Para a Palo Alto, o foco foi em informações de contato comercial.
“Os dados básicos de negócios poderiam ser utilizados para criar iscas de phishing convincentes ou ataques de vishing”
(“Basic business data could be used to create believable spear phishing lures or vishing attacks.”)
— Sam Curry, CISO, Zscaler.
Análise e recomendações
A gravidade do incidente é amplificada pela natureza dos tokens OAuth, que permitem acesso a dados como se fossem um usuário legítimo, sem gerar alertas de segurança típicos. Raj Samani, cientista-chefe da Rapid7, destacou a facilidade com que as credenciais roubadas podem ser utilizadas. A Okta, por outro lado, implementou restrições de IP e outras medidas de segurança, conseguindo evitar qualquer violação em seus sistemas.
“Precisamos fazer um esforço coletivo para reduzir o impacto de uma violação de uma única entidade”
(“As an industry, we need to make a collective effort to think about how to reduce the blast radius from the breach of a single entity.”)
— Equipe de Inteligência de Ameaças, Okta.
A indústria aguarda novas atualizações sobre a extensão completa das brechas e medidas corretivas que serão implementadas por fornecedores de SaaS para mitigar riscos semelhantes no futuro.
Fonte: (Dark Reading – Segurança Cibernética)
