FBI har udsendt en advarsel om Salesforce-datatyveri, der forbindes med to trusselsaktører, UNC6040 og UNC6395. Begge grupper udnyttede Salesforce OAuth-apps til at stjæle store mængder følsomme data fra flere organisationer. Hændelserne viser de stigende risici, virksomheder står overfor, når angribere misbruger betroede adgangstokens.
Sådan udnyttede hackerne Salesforce
UNC6040 anvendte social engineering og vishing-taktikker. Angribere narrede medarbejdere til at installere falske Salesforce OAuth-apps, herunder manipulerede versioner af Data Loader. Når appene først var tilkoblet, fik hackerne adgang til konti og kontakter og kunne dermed udtrække værdifulde virksomhedsdata.
UNC6395 brugte stjålne OAuth-tokens fra tredjepartstjenester til at få adgang til Salesforce. Kompromitterede tokens fra integrationer som Salesloft og Drift gjorde det muligt for angribere at omgå normale login-kontroller. I nogle tilfælde omfattede eksponerede supportsager adgangskoder, AWS-nøgler og andre følsomme oplysninger.
Konsekvenser for organisationer
Salesforce-datatyveri udgør alvorlige risici for virksomheder. Hackerne målrettede kunderegistre, intern kommunikation og finansielle data. De stjålne oplysninger blev senere knyttet til afpresningskampagner, hvilket forøgede både de økonomiske og omdømmemæssige trusler for ofrene.
Rapporter viser, at kendte virksomheder inden for detailhandel, teknologi og mode blev ramt. Angrebsmetoden demonstrerer, hvordan OAuth-baseret adgang kan underminere selv sikre miljøer. Når angribere får fat i gyldige tokens, kan de operere uden at udløse traditionelle login-advarsler.
Forebyggende tiltag
FBI anbefaler flere handlinger for at reducere fremtidige risici:
- Gennemgå Salesforce OAuth-applikationer og fjern ubrugte eller mistænkelige apps.
- Tilbagekald OAuth-tokens udstedt af kompromitterede tredjepartstjenester.
- Indfør strenge adgangskontroller for følsomme supportsager.
- Overvåg unormal dataeksport eller uautoriseret brug af supportsystemer.
Konklusion
FBI’s advarsel om Salesforce-datatyveri viser, hvordan hackere tilpasser sig for at udnytte betroede værktøjer. Ved at angribe OAuth-tokens og applikationer kan de omgå standardbeskyttelse og opnå direkte adgang til værdifulde data. Virksomheder må handle proaktivt, styrke overvågningen og reducere token-risici for at beskytte sig mod lignende angreb.
0 svar til “FBI advarer om Salesforce-datatyveri”