Salesloft diz que os roubos de dados do cliente Drift vinculados ao Hack da conta do GitHub de março
A Salesloft disse que uma violação de sua conta do Github em março permitiu que os hackers roubassem tokens de autenticação que mais tarde foram usados em um hack de massa visando vários de seus grandes clientes de tecnologia. Citando uma investigação da unidade de resposta a incidentes do Google, Mandiant, a Salesloft disse em sua página de violação de dados que os hackers ainda não nomeados acessaram a conta do Salesloft Github e realizaram atividades de reconhecimento de março a junho, o que lhes permitiu baixar o “conteúdo de vários repositórios, adicionar um usuário de convidados e estabelecer fluxos de trabalho”. A linha do tempo levanta novas questões sobre a postura de segurança da empresa, incluindo por que a Salesloft levou cerca de seis meses para detectar a intrusão. Salesloft disse que o incidente está agora “contido”. Entre em contato conosco Você tem mais informações sobre essas violações de dados? A partir de um dispositivo que não é de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no sinal em +1 917 257 1382, ou via telegrama e keybase @lorenzofb ou email. Você também pode entrar em contato com o TechCrunch via Securedrop. Depois que os hackers invadiram sua conta do Github, a empresa disse que os hackers acessaram o ambiente em nuvem da Amazon Web Services da AI da Salesloft e da plataforma de marketing movida a chatbot Drift, o que lhes permitiu roubar tokens OAuth para os clientes da Drift. Oauth é um padrão que permite aos usuários autorizar um aplicativo ou serviço para se conectar a outro. Ao confiar no OAuth, o Drift pode se integrar a plataformas como o Salesforce e outras pessoas para interagir com os visitantes do site. Ao roubar esses tokens, os atores de ameaças violaram vários clientes da Salesloft, como Bugcrowd, Cloudflare, Google, ProofPoint, Palo Alto Networks e Tenable, entre outros, muitos dos quais provavelmente ainda são desconhecidos. O grupo de inteligência de ameaças do Google revelou a violação da cadeia de suprimentos no final de agosto, atribuindo -a a um grupo de hackers que chama de UNC6395. Evento do TechCrunch São Francisco | 27-29 de outubro de 2025 Databreaches de publicações de segurança cibernética.NET e Bleeping Computer relataram anteriormente que os hackers por trás da violação são o prolífico grupo de hackers conhecido como Shinyhunters. Acredita -se que os hackers estão tentando extorquir as vítimas entrando em contato com elas em particular. Ao acessar os tokens do Salesloft, os hackers acessaram instâncias do Salesforce, onde roubaram dados confidenciais contidos nos tickets de suporte. “O objetivo principal do ator foi roubar credenciais, concentrando-se especificamente em informações confidenciais, como chaves de acesso da AWS, senhas e tokens de acesso relacionados a flácio de neve”, disse Salesloft em 26 de agosto. Salesloft disse no domingo que sua integração com o Salesforce agora é restaurada.
Fonte
