Entrada

Salesloft dice que el robo de datos de clientes de Drift está relacionado con el hackeo de la cuenta de GitHub de marzo.

Publicado
Por TheCodic
2 min de lectura

Créditos de la imagen: Andrew Brookes

Salesloft dijo que una brecha en su cuenta de GitHub en marzo permitió a los hackers robar tokens de autenticación que luego fueron utilizados en un ataque masivo que afectó a varios de sus grandes clientes de tecnología.

Citando una investigación por la unidad de respuesta a incidentes de Google, Mandiant, Salesloft dijo en su página de brecha de datos que los hackers, aún no identificados, accedieron a la cuenta de GitHub de Salesloft y realizaron actividades de reconocimiento desde marzo hasta junio, lo que les permitió descargar “contenido de múltiples repositorios, agregar un usuario invitado y establecer flujos de trabajo”.

El cronograma plantea nuevas preguntas sobre la postura de seguridad de la empresa, incluyendo por qué le llevó a Salesloft seis meses detectar la intrusión.

Salesloft dijo que el incidente ahora está “controlado”.

¿Tienes más información sobre estos incidentes de datos? Desde un dispositivo no laboral, puedes contactar a Lorenzo Franceschi-Bicchierai de manera segura en Signal en +1 917 257 1382, o a través de Telegram y Keybase @lorenzofb, o por correo electrónico. También puedes contactar a TechCrunch a través de SecureDrop.

Después de que los hackers accedieron a su cuenta de GitHub, la empresa dijo que los hackers accedieron al entorno de nube de Amazon Web Services de la plataforma de marketing impulsada por inteligencia artificial y chatbot de Salesloft, Drift, lo que les permitió robar tokens OAuth para los clientes de Drift. OAuth es un estándar que permite a los usuarios autorizar una aplicación o servicio a conectarse a otro. Al utilizar OAuth, Drift puede integrarse con plataformas como Salesforce y otras para interactuar con visitantes de sitios web.

Al robar estos tokens, los actores de la amenaza comprometieron a varios clientes de Salesloft, como Bugcrowd, Cloudflare, Google, Proofpoint, Palo Alto Networks y Tenable, entre otros, muchos de los cuales son probablemente desconocidos.

El Grupo de Inteligencia de Amenazas de Google reveló la brecha en la cadena de suministro a finales de agosto, atribuyéndola a un grupo de hackers al que llama UNC6395.

Las publicaciones de ciberseguridad DataBreaches.net y Bleeping Computer informaron anteriormente que los hackers detrás de la brecha son el grupo de hackers prolífico conocido como ShinyHunters. Los hackers se cree que están tratando de extorsionar a las víctimas contactándolas de manera privada.

Al acceder a los tokens de Salesloft, los hackers accedieron a instancias de Salesforce, donde robaron datos sensibles contenidos en tickets de soporte. “El objetivo principal del actor fue robar credenciales, específicamente enfocándose en información sensible como claves de acceso a AWS, contraseñas y tokens de acceso a Snowflake”, Salesloft dijo el 26 de agosto.

Salesloft dijo el domingo que su integración con Salesforce ahora está restaurada.

Security cloudflare cybercrime cybersecurity data breach Google hackers hacking Salesforce salesloft
Esta entrada está licenciada bajo CC BY 4.0 por el autor.