Zscaler, firma specjalizująca się w cyberbezpieczeństwie, stała się ostatnią znaną ofiarą ataku na łańcuch dostaw, który umożliwił kradzież danych klientów z jej systemu Salesforce.
Incydent jest częścią szerszej kampanii, która dotknęła również takie firmy jak Google, Cloudflare i Palo Alto Networks, podkreślając ryzyko związane z integracjami firm trzecich.
Źródłem problemu okazała się popularna platforma automatyzacji sprzedaży Salesloft Drift. Atakujący zdołali skompromitować tę integrację i wykraść z niej tokeny uwierzytelniające OAuth.
Następnie użyli ich do uzyskania nieautoryzowanego dostępu do systemów Salesforce firm, które korzystały z tego narzędzia. Operacja trwała co najmniej od 8 do 18 sierpnia.
W przypadku Zscalera skradzione dane obejmują imiona i nazwiska, firmowe adresy e-mail, stanowiska, numery telefonów oraz notatki powiązane ze zgłoszeniami do wsparcia technicznego.
Firma podkreśla, że wyciek nie objął żadnych plików, załączników ani obrazów.
Bezpośrednim zagrożeniem dla klientów, których dane wyciekły, są wysoce ukierunkowane ataki phishingowe.
Przestępcy, dysponując szczegółowymi informacjami o pracownikach i ich interakcjach z pomocą techniczną, mogą tworzyć bardzo wiarygodne wiadomości w celu wyłudzenia dalszych, bardziej wrażliwych danych, jak na przykład poświadczenia do środowisk chmurowych.
Incydent stanowi klasyczny przykład ataku na łańcuch dostaw. Nawet jeśli zabezpieczenia samego Salesforce i jego klientów, takich jak Zscaler, były na wysokim poziomie, luka w mniejszej, zintegrowanej aplikacji otworzyła drzwi do ich systemów.
Podkreśla to rosnące wyzwanie w zarządzaniu bezpieczeństwem w złożonych ekosystemach IT.
W reakcji na incydent Zscaler natychmiast odwołał dostęp dla aplikacji Drift i odświeżył pozostałe tokeny API. Sam Salesloft również unieważnił i wygenerował nowe tokeny dla swojej platformy.
Problem zwraca uwagę na wagę regulacji, takich jak europejska dyrektywa NIS2, które kładą coraz większy nacisk na bezpieczeństwo całego łańcucha dostaw w sektorze technologicznym.
