English
Salesloft ha confirmado que un ataque a su cuenta de GitHub en marzo permitió que ciberdelincuentes robaran tokens de autenticación, los cuales fueron posteriormente utilizados en un ataque masivo dirigido a varios clientes importantes del sector tecnológico.
Según la unidad de respuesta a incidentes de Google, Mandiant, los atacantes accedieron al entorno de GitHub de Salesloft entre marzo y junio. Durante este período, habrían descargado contenido de múltiples repositorios, agregado un usuario invitado y establecido flujos de trabajo maliciosos.
Esta situación genera preocupaciones sobre la postura de seguridad de Salesloft, especialmente respecto a por qué tomó alrededor de seis meses detectar la intrusión. La empresa asegura que el incidente ya ha sido “contenido”.
Explotación de Tokens OAuth de Drift
Tras la brecha en GitHub, los atacantes pudieron infiltrarse en la infraestructura en la nube de Amazon Web Services (AWS) utilizada por Drift, la plataforma de marketing de Salesloft basada en IA y chatbots. Esto les permitió robar tokens OAuth de clientes de Drift.
OAuth es un estándar que permite a las aplicaciones conectarse de forma segura con plataformas de terceros, como Salesforce. Al robar estos tokens, los atacantes pudieron moverse lateralmente y acceder a los entornos de los clientes.
Entre las organizaciones afectadas se encuentran Bugcrowd, Cloudflare, Google, Proofpoint, Palo Alto Networks y Tenable, aunque se cree que podrían existir más clientes comprometidos.
El Grupo de Inteligencia de Amenazas de Google atribuyó el incidente a un grupo de hackers identificado como UNC6395, que hizo pública la información a finales de agosto.
Posible Extorsión y Responsables
Si bien Google vinculó el ataque a UNC6395, informes de DataBreaches.net y Bleeping Computer sugieren que el grupo cibercriminal ShinyHunters podría estar detrás de la campaña. Se cree que los atacantes han intentado extorsionar a las víctimas mediante comunicaciones privadas.
Salesloft confirmó que los ciberdelincuentes utilizaron los tokens robados para acceder a entornos de Salesforce, donde se apuntó a información sensible contenida en tickets de soporte. La empresa indicó que el objetivo principal fue robar credenciales, incluyendo claves de acceso a AWS, contraseñas y tokens relacionados con Snowflake.
Al 7 de septiembre, Salesloft anunció que su integración con Salesforce ha sido completamente restaurada.
