Devis de remise multi-licences
Données concernant les menaces Vulnérabilité Violation de données chez Salesloft

Violation de données chez Salesloft

Par Mezo en Vulnérabilité, Menace persistante avancée (APT)
Se traduisent par :

Une cyberattaque de grande ampleur a compromis l'intégration de Salesloft avec l'agent de chat Drift AI, permettant aux pirates de voler des jetons OAuth et d'actualisation. L'acteur malveillant, identifié sous le numéro UNC6395, a exploité ces jetons volés pour pénétrer les environnements clients Salesforce. Les experts en sécurité ont identifié plus de 700 organisations potentiellement affectées.

Chronologie de la brèche

L'enquête révèle que l'activité malveillante s'est déroulée du 8 au 18 août 2025. Durant cette période, les attaquants ont utilisé des jetons OAuth compromis liés à Drift pour infiltrer des instances Salesforce. Une fois à l'intérieur, ils ont exporté d'énormes quantités de données d'entreprise, dans le but de collecter des identifiants sensibles tels que :

  • Clés d'accès Amazon Web Services (AWS)
  • Mots de passe
  • Jetons liés à Snowflake

Méthodes d’attaque et savoir-faire

Cette campagne se distingue par la précision méthodique d'UNC6395. Il ne s'agit pas d'une intrusion ponctuelle, mais d'attaques structurées et répétées sur des centaines de clients Salesforce. Voici quelques observations clés :

Exécution disciplinée – Des requêtes ont été systématiquement exécutées pour identifier et extraire les informations d’identification.

Connaissance opérationnelle – Les attaquants ont supprimé les tâches de requête pour dissimuler les traces de leurs activités.

Sélection de la cible – De nombreuses organisations victimes d’une violation étaient des fournisseurs de technologies et de sécurité, ce qui suggère qu’il pourrait s’agir d’une tentative d’infiltration de la chaîne d’approvisionnement.

En compromettant les fournisseurs et les prestataires de services, le groupe s'est positionné pour étendre les attaques en aval dans les écosystèmes clients et partenaires.

Réponse de Salesloft et Salesforce

Salesloft a publié un avis le 20 août 2025, reconnaissant la violation et confirmant la révocation de toutes les connexions Drift–Salesforce. Salesforce a ensuite publié sa propre déclaration, précisant que seul un « petit nombre de clients » était directement affecté. Les deux entreprises ont immédiatement pris des mesures suite à l'incident :

  • Jetons d'accès et d'actualisation actifs invalidés
  • Suppression de Drift d'AppExchange
  • Collaboré pour contenir l'attaque et évaluer l'impact

Salesloft a souligné que l'incident n'affecte pas les organisations sans intégrations Salesforce.

Paysage des menaces plus large

Les environnements Salesforce sont devenus des cibles de plus en plus lucratives pour les groupes motivés par l'argent. D'autres clusters, tels que UNC6040 et UNC6240 (ShinyHunters), sont connus pour exploiter les environnements SaaS. UNC6240 s'est même associé à Scattered Spider (UNC3944) pour des campagnes d'accès initial.

À l'heure actuelle, rien ne permet de relier l'UNC6395 à ces groupes, ce qui en fait un groupe de menaces nouveau et distinct. Cependant, l'ampleur, la concentration et la sophistication de sa campagne le placent dans la même catégorie d'adversaires à haut risque.

Atténuation et prochaines étapes

Salesloft a fait appel à des fournisseurs de sécurité tiers pour soutenir les investigations et les efforts de correction. L'entreprise encourage vivement les administrateurs à réauthentifier les connexions Salesforce pour restaurer les intégrations et à prendre des mesures de sécurité supplémentaires.

Les principales recommandations comprennent :

  • Révocation et rotation des clés API existantes
  • Reconnecter les intégrations Drift avec de nouvelles clés
  • Examen des journaux pour détecter les requêtes suspectes et l'exposition potentielle des données
  • Effectuer des enquêtes plus approfondies pour déterminer l'impact

Pour les organisations qui gèrent les connexions Drift via des clés API, une rotation proactive des clés est fortement recommandée. Les intégrations OAuth sont toutefois déjà prises en charge directement par Salesloft.

Conclusion finale

Cette campagne met en lumière les risques croissants liés aux intégrations tierces au sein des écosystèmes SaaS. En exploitant abusivement des jetons OAuth volés, UNC6395 a démontré sa capacité à mener des opérations ciblées, furtives et axées sur la chaîne d'approvisionnement. Cet événement rappelle que les plateformes cloud, bien que puissantes, restent des cibles privilégiées pour les acteurs malveillants cherchant à exploiter les relations de confiance au sein de la chaîne d'approvisionnement numérique.

Tendance

Le plus regardé

Chargement...