FBI har sendt ut en advarsel om Salesforce-datatyveri som kobles til to trusselaktører, UNC6040 og UNC6395. Begge gruppene utnyttet Salesforce OAuth-apper for å stjele store mengder sensitiv informasjon fra flere organisasjoner. Hendelsene viser de økende risikoene selskaper står overfor når angripere misbruker betrodde tilgangstokens.
Hvordan hackerne utnyttet Salesforce
UNC6040 brukte sosial manipulering og vishing-taktikker. Angripere lurte ansatte til å installere falske Salesforce OAuth-apper, inkludert forfalskede versjoner av Data Loader. Når appene først var koblet til, fikk hackerne tilgang til kontoer og kontakter, og kunne dermed hente ut verdifull bedriftsdata.
UNC6395 brukte stjålne OAuth-tokens fra tredjepartstjenester for å få tilgang til Salesforce. Kompromitterte tokens fra integrasjoner som Salesloft og Drift gjorde det mulig å omgå vanlige innloggingskontroller. I noen tilfeller inkluderte eksponerte supportdata passord, AWS-nøkler og annen sensitiv informasjon.
Konsekvenser for organisasjoner
Salesforce-datatyveri utgjør alvorlige risikoer for virksomheter. Hackerne rettet seg mot kundedata, intern kommunikasjon og finansielle opplysninger. Den stjålne informasjonen ble senere knyttet til utpressingskampanjer, noe som økte både de økonomiske og omdømmemessige truslene for ofrene.
Rapporter viser at kjente selskaper innen detaljhandel, teknologi og mote ble rammet. Angrepsmetoden demonstrerer hvordan OAuth-basert tilgang kan undergrave selv sikre miljøer. Når angripere får tak i gyldige tokens, kan de operere uten å utløse tradisjonelle innloggingsvarsler.
Forebyggende tiltak
FBI anbefaler flere tiltak for å redusere fremtidige risikoer:
- Gjennomgå Salesforce OAuth-applikasjoner og fjern ubrukte eller mistenkelige apper.
- Opphev OAuth-tokens utstedt av kompromitterte tredjepartstjenester.
- Innfør strenge tilgangskontroller for sensitiv supportdata.
- Overvåk unormale dataeksporter eller uautorisert bruk av supportsystemer.
Konklusjon
FBI sin advarsel om Salesforce-datatyveri viser hvordan hackere tilpasser seg for å utnytte betrodde verktøy. Ved å rette angrepene mot OAuth-tokens og apper kan de omgå standardbeskyttelse og få direkte tilgang til verdifull data. Bedrifter må handle proaktivt, styrke overvåkningen og redusere tokenrisikoer for å beskytte seg mot lignende inntrengninger.
0 svar til “FBI advarer om Salesforce-datatyveri”