FBI varnar för Salesforce-datastöld

FBI har utfärdat en varning om Salesforce-datastöld som kopplas till två hotaktörer, UNC6040 och UNC6395. Båda grupperna utnyttjade Salesforce OAuth-appar för att stjäla stora mängder känslig data från flera organisationer. Incidenterna visar de växande riskerna företag står inför när angripare missbrukar betrodda åtkomsttokens.

Hur hackare utnyttjade Salesforce

UNC6040 använde social engineering och vishing-tekniker. Angripare lurade anställda att installera falska Salesforce OAuth-appar, inklusive manipulerade versioner av Data Loader. När apparna väl kopplats gav de hackarna åtkomst till konton och kontakter, vilket gjorde det möjligt att extrahera värdefull företagsdata.

UNC6395 använde stulna OAuth-tokens från tredjepartstjänster för att komma åt Salesforce. Komprometterade tokens från integrationer som Salesloft och Drift gjorde det möjligt för angripare att kringgå vanliga inloggningskontroller. I vissa fall inkluderade exponerade supportärenden lösenord, AWS-nycklar och annan känslig information.

Konsekvenser för organisationer

Salesforce-datastöld utgör allvarliga risker för företag. Hackarna riktade in sig på kundregister, intern kommunikation och finansiell information. Den stulna datan kopplades senare till utpressningskampanjer, vilket ökade både de ekonomiska och ryktemässiga hoten för offren.

Rapporter visar att välkända företag inom detaljhandel, teknik och mode drabbades. Angreppsmetoden visar hur OAuth-baserad åtkomst kan underminera även säkra miljöer. När angripare väl får giltiga tokens kan de agera utan att utlösa traditionella inloggningsvarningar.

Förebyggande åtgärder

FBI rekommenderar flera åtgärder för att minska framtida risker:

• Granska Salesforce OAuth-applikationer och ta bort oanvända eller misstänkta appar.
• Återkalla OAuth-tokens som utfärdats av komprometterade tredjepartstjänster.
• Inför strikta åtkomstkontroller för känsliga supportärenden.
• Övervaka onormala dataexporter eller obehörig användning av supportsystem.

Slutsats

FBI:s varning om Salesforce-datastöld visar hur hackare anpassar sig för att utnyttja betrodda verktyg. Genom att rikta in sig på OAuth-tokens och applikationer kan angripare kringgå standard­skydd och få direkt åtkomst till värdefull data. Företag måste agera proaktivt, stärka sin övervakning och minska tokenrisker för att skydda sig mot liknande intrång.